希望瑞星主防能拦截以下项目!

对进程的控制!
瑞星的主防没有控制以下操作:

访问其他进程数据 - 修改其他进程的内存及内存属性,或者在进程间复制句柄。

操作其他进程及线程 - 创建远线程,结束、挂起或修改其他进程的线程,结束或挂起其他进程,或者调试其他进程。

进程间消息操作 - 向其他进程发送消息,或者从其它进程接收消息(如:病毒虚拟发送消息关闭瑞星)。

底层键盘操作 - 直接读取键盘状态,或者模拟键盘输入。

特殊方式写注册表 - 使用注册表配置单元文件替换注册表项,重命名注册表项,或者创建注册表链接。

创建远程线程拦截注入

加载dll文件

远程调用com对象


安装键盘钩子卡巴有此功能

模拟键盘鼠标操作(如:磁碟机


系统设备控制卡巴有此功能

注册表转储hiv

访问服务管理器
     
          d:对注册表的保护!!!
          一般的木马运行添加自启动就会被杀毒软件的主动防御拦截,前几天发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,我测试了--------瑞星一个都未拦截.
1.cmd运行前执行的程序(被动启动)
  HKEY_CURRENT_USER\Software\Microsoft\Command Processor
AutoRun            REG_SZ              "xxx.exe"
2.session manager(自启动)
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute        REG_MULIT_SZ          "autocheck autochk *      xxx"
瑞星就来了一个bsmain,用来开机查毒
不过xxx.exe必须用Native API,不能用Win32API
3.屏幕保护程序(被动启动)
  HKEY_USERS\.DEFAULT\Control Panel\Desktop
SCRNSAVE.EXE    REG_SZ      "xxx.scr"
其实屏幕保护程序scr文件就是PE文件
4.
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Run
"MSCONFIG"="%SystemRoot%\\xxx.exe"
另外,还有一个偷换控制面板文件来被动启动的方式,控制面板文件在C:\windows\system32\下
的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧!
以上键值------------经我测试,瑞星一个未拦!!!



5.      现在很多安软采用了隐藏进程等技术保护自身不被恶软发现(如:x;江民;卡巴;魔法盾等)
      其中Malware Defender的驱动可以在重启中,自动变形!!!(重命名驱动)
      希望瑞星在重启的过程中,驱动和进程能自动变形,能隐藏自身进程,并且卡卡助手的进程管理使用驱动,否则如何查看隐藏进程呀???
      在装有卡巴、x或江民的机器上安装卡卡助手,卡卡却看不到上述软件的进程,不是很郁闷吗?上述软件看不到还好说,要是恶软呢?

    希望瑞星能周期性自动挂钩hook!!!


感觉瑞星的云安全应用还有提高的余地!!!
金山网标可以依据“
可信认证”-----自动放行安全的连接!!!这一点很智能,而瑞星只能放行带有签名的进程,建议瑞星检测进程的安全性,通过云安全自动放行!!!

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)