瑞星存在重定向问题,在win7 x64下
系统:win7 64
原理:
32位的程序在64位的Windows系统中,如果要访问system32目录则32位程序需要使用路径%systemroot%\sysnative才能访问到64位的system32文件夹否则会被系统重定向到SysWOW64文件夹
于是我们手工新建一个sysnative文件夹,32位程序去访问,就会被重定向到system32所以,就扫描不到这个文件夹了=_=
就这样,成功的绕过了防护机制。操作:
1、调用 cmd 执行
2、 C:\Users\Administrator>md c:\windows\sysnative2>nul 2>nul
3、C:\Users\Administrator>copy c:\windows\explorer.exe c:\windows\sysnative2\explor
er.exe>nul 2>nul
4、C:\Users\Administrator>move c:\windows\sysnative2 c:\windows\sysnative>nul 2>nul
5、C:\Users\Administrator\Desktop>copy test.exe c:\windows\sysnative
目的 : 通过执行上述命令 ,瑞星系统加固没有拦截 !!!我使用的瑞星升级保姆 ,将瑞星保姆命名为test后复制到 上述文件夹
结果:
1、系统加固全程没有拦截报警 ,
2、通过最后复制test 到
c:\windows\sysnative ,并使用命令行 运行 test后 ,瑞星文件监控没有报警 拦截!!!
3、通过瑞星全盘 ,没有找到 任何病毒,说明 扫描路径 漏掉了!!!
上张图证明瑞星已经入库了,测试时为了方便将瑞星保姆命名为test ,并且测试时开启所有监控,当然执行cmd命令时,要关闭文件监控,要不然样本在桌面上,还没有测试就被干掉了!!!
测试时关闭文件监控,但是开启所有防御,系统加固调到最高,并取消自动放行 那两项!!!
用户系统信息:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 UBrowser/5.2.3285.46 Safari/537.36
