结束瑞星的新方法

请您按照模板格式提交相关信息:

操作系统及补丁情况:xp
浏览器及版本:ie7  傲游
瑞星软件版本:最新版
问题现象:干掉瑞星,一共就拦截到一个操作:关闭计算机,其他操作一个也没拦截到,病毒照常运行,瑞星照常被破坏,而且还显示绿伞,汗一个!c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
出现问题前的操作步骤:HIVE方式写注册表,绕过瑞星监控创建启动项,并破坏瑞星程序!
问题能否复现:必现


注册表监控利用Hook注册表操作用的API函数实现的,有可能被hive  方式写注册表绕过。c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
建议可以利用注册表快照的对比外加hook  api来共同防御病毒绕过注册表监控。
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
这个技术的优点是不会被没有书面化的注册表操作函数以及HIVE方式写注册表等方法绕过。c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
缺点是不是实时的,与操作时间有一定的延迟,c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
而且一旦病毒写入注册表以后,直接调用NtShuodownSystem函数关机,将无法准确监控到注册表写入。c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
最大的缺陷是,快照需要保存到文件上,这个文件需要着重保护,若忽视了这一点

为了演示方便,没有使用真正的病毒样本,而使用的是SuperScan软件,这是一款黑客工具,瑞星会报警。c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
实现方法:HIVE方式写注册表,绕过瑞星监控创建启动项,并破坏瑞星程序。c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
瑞星版本:2008年9月20日最新版本c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
2009测试完毕,一共就拦截到一个操作:关闭计算机,其他操作一个也没拦截到,病毒照常运行,瑞星照常被破坏,而且还显示绿伞,汗一个!c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
http://baike.360.cn/3233995/11817629.html此帖详细的叙述了测试过程!!!c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»
请工程师百忙之中分析一下哦!!!!!c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»

c/õ™V>‰õObbs.ikaka.com˜R~·‚øs|»



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS; baiduds; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)