瑞星的自我保护方面有漏洞


操作系统及补丁情况:正版 WINXP LENOVO OEM SP3
浏览器及版本:IE6 + MAXTHON 2.1.4.443
瑞星软件版本:21.00.50
涉及的其它软件版本:无
问题现象:

我们知道,瑞星有着很强大的 智能主动防御功能 ,带有 自我保护。但是,2009版的自我保护,不是很牢固。
大家都知道,进程的自我保护有好多种方法,比如检测监控和挂HOOK钩子。但是不论哪种,都不是绝对安全、牢不可破的。
比如进程监控:即MON1.exe是监控程序,TEST2.exe为被保护的应用程序,如果这时TEST2.exe被结束了,MON1.exe就会自动重启TEST2.exe。但是为了保险,有时,2个或者是多个程序之间都互相保护,比如MON1.exe被结束了,TEST2.exe也会重启MON1.exe。这样就更保险了。
瑞星2009测试版就是用了多种保护自身程序不被破坏的方法。比如:进程监控(ScanFrm.exe)和挂HOOK钩子。但是,很可惜,这两种方法现在已经都可以倍轻松破解了。但是瑞星把他们结合起来,就很好了。
但是,还是可以攻破的:
1.把瑞星注册的HOOK钩子失效(网上有很多教程)
2.结束ScanFrm.exe(如果瑞星的HOOK已经失效,可以直接结束。如果还没有,可以用ICESWORD)
3.现在,瑞星的保护就基本上失效了。
(如果有误,请各位大虾见谅。我只是想主要说明ScanFrm.exe的问题,况且本人才上初中,请大家赐教)
我重点要强调的是ScanFrm.exe。

这个程序是瑞星的自我保护监控程序,他可以在HOOK钩子失效时,负责监控瑞星的进程有没有被结束,然后重启他们。但是,就目前来看,瑞星的这个ScanFrm.exe并不是很牢固,就算在HOOK还在起作用的情况下,通过系统自带的“任务管理器”无法结束,可是通过一些工具,比如Icesword。就可以轻松结束了。但是,一旦他被结束,一切就完了。病毒可以随意破坏瑞星,并且瑞星不会再起任何作用!最重要的是,就算用户的安全意识很高,会自己去启动 ScanFrm.exe ,可是有时,他不一定启动后生效!这就给病毒造成了可乘之机!


更重要的!rsnetsvr.exe !

(连重新启动都无法生效)

它,更加薄弱,我没有用任何工具,也没有对瑞星的HOOK进行破坏,也没有破坏其他部分。只使用系统自带的“任务管理器”就轻轻松松的结束了它(在瑞星的自我保护启动的情况下)。再破坏ScanFrm.exe之后,瑞星就出现了一系列问题。
一旦ScanFrm.exe和rsnetsvr.exe进程被破坏:


出现问题前的操作步骤:正常启用瑞星的 智能主动防御 和 实时监控。
问题能否复现:必现(指的是我自己按照上面的方法破坏瑞星后,瑞星不能正常使用的状况)


所以,我希望瑞星能在自我保护上加大力度,使用联合保护等方法,使瑞星本身不会被病毒所破坏,这样,才能保证电脑的安全性和瑞星的有效性。同样,在 瑞星全功能安全软件2009 (RIS)中,也要加大力度。

希望瑞星能够在这方面加强!


谢谢瑞星给我们做出了这么好的杀毒软件!我希望2009能给我们到来惊喜,质的飞跃!
我期待瑞星的不断成长!我相信,在大家的努力下,瑞星在智能主动防御和实时监控方面一定会做得越来越坚固,牢不可破!



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; .NET CLR 2.0.50727; MAXTHON 2.0)