瑞星卡卡安全论坛瑞星2008全功能体验杀毒软件[已关闭] 【原创】关于结束2008进程的详细测试(附解决方法)

1   1  /  1  页   跳转

【原创】关于结束2008进程的详细测试(附解决方法)

收藏
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-22 11:37 | 只看楼主 短消息 资料
字号: 1楼

【原创】关于结束2008进程的详细测试(附解决方法)

TOM2000

有网友说可以使用PE结束瑞星2008的进程。我用PL测试确实是无法结束的!但是我也犯了一个严重的错误就是我用的是PL而不是PE,所以发现这个错误后我立即重新进程一次实验。我使用Wsyscheck进行一次模拟测试,结果我非常轻易的就可以结束RAVMON和RAVMOND这两个进程,但是2008主程序界面显示监控是开启的,为了确信进程被真正结束。我运行了一个病毒样本,结果样本顺利被运行。我之后注销计算机注意是“注销”结果重新启动后2008监控全部关闭,我手动开启后继续运行样本,结果样本首先被HIPS阻止,随后就被监控查杀。但是这次测试问题在于为什么第一次RAVMON和RAVMOND被结束后运行样本HIPS没有作用呢?因为我并没有结束HIPS进程!

既然发现了问题我们就一起来解决!因为没有编辑留白,所以截图排版有一些问题。希望大家谅解。如大家还是无法看明白可以参考http://forum.ikaka.com/topic.asp?board=210&artid=8371258

其它图就不给大家了,使用的工具都很常见大家有兴趣可以自己测试一下!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

您所在的用户组无法下载或查看附件

最后编辑2007-09-23 22:10:45
分享到:
gototop
 
majia001
头像
健康舞勺狮
  • 帖子:219
  • 注册: 2007-08-27
  • 来自:
发表于: 2007-09-22 13:12 | 短消息 资料
字号: 2楼

要加载驱动的吗? 最要防的是无需加载驱动,运行时候瑞星没任何提示,但却能结束瑞星保护进程的.

例如SSM给出的spt.exe
gototop
 
举世杰伦
头像
快乐黄口狮
  • 帖子:199
  • 注册: 2006-07-03
  • 来自:
发表于: 2007-09-22 19:18 | 短消息 资料
字号: 3楼

请问:你的意思是说,我用PE结束瑞星进程之前,忘记已经允许PE加载驱动了?PE得加载驱动吗,我忘了。。要是不用加载驱动,而且被轻易结束,那么。。。。。
请问你为何不用PE试试?用syscheck。。。
gototop
 
举世杰伦
头像
快乐黄口狮
  • 帖子:199
  • 注册: 2006-07-03
  • 来自:
发表于: 2007-09-23 13:56 | 短消息 资料
字号: 4楼

回你那边那个帖了。。如下:
========Content========
问题是:Process Explorer没有加载驱动!!!!!!!
只是首次运行时,瑞星主动防御提示:程序要创建和修改敏感目录下的一个dat文件(软件自己生成的,估计是配置文件)!有空我将附上截图
gototop
 
majia001
头像
健康舞勺狮
  • 帖子:219
  • 注册: 2007-08-27
  • 来自:
发表于: 2007-09-23 14:33 | 短消息 资料
字号: 5楼

三楼说的是这个?

附件附件:

您所在的用户组无法下载或查看附件

gototop
 
majia001
头像
健康舞勺狮
  • 帖子:219
  • 注册: 2007-08-27
  • 来自:
发表于: 2007-09-23 14:40 | 短消息 资料
字号: 6楼

引用:
操作                            时间                            进程名称                                                                                                                                                                                                                                                      操作数据                                                                                                                                                                                                                                                     
试图结束目标进程                2007-09-23 14:20:48            D:\MY DOCUMENTS\PROCESS EXPLORER\PROCEXP.EXE                                                                                                                                                                                                                  C:\PROGRAM FILES\RISING\RAV\DEFCFG.EXE   


PE提示拒绝访问


其实不妨看看SSM的那小东西
http://www.syssafety.com/leaktests.html

Simple process termination leaktest.  [description] 
  Simple process termination leaktest. More than 16 methods to terminate a process.
1.0.0.2  (2006-10-05 19:14) 
  spt.exe 52 KB 32-bit Windows Executable File
gototop
 
tom2000
头像
版主
  • 帖子:3576
  • 注册: 2001-07-13
  • 来自:晶体测评小组
卡卡风雨同舟勋章写手勋章论坛8周年活动礼物卡卡名人堂论坛9周年纪念十周年2012我眼中的你们十一周年勋章六一欢乐天使
发表于: 2007-09-23 21:26 | 只看楼主 短消息 资料
字号: 7楼

SYS是什么文件?这不很能说明问题吗?

我不写PE是因为,如果不举一反三HIPS是没有用处的?今天WY知道了,明天PE就不会,如果遇到真的病毒怎么办?主动防御的精髓不是规则而是使用者本身!

还有如果需要明天就会补上PE的图!
gototop
 
举世杰伦
头像
快乐黄口狮
  • 帖子:199
  • 注册: 2006-07-03
  • 来自:
发表于: 2007-09-23 22:21 | 短消息 资料
字号: 8楼

道歉!那个我是在学校测试的,可能重装瑞星之后没有将主动防御的所有级别全部调到最高。。
我在家测试是有显示加载驱动的。。。我明天去检查一下再下结论!非常Sorry!!!!!!!!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT