瑞星自我保护分析及测试！！！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星2010新品体验挑战专区 瑞星组合版2010公测瑞星自我保护分析及测试！！！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[RAV] 瑞星自我保护分析及测试！！！

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2009-07-05 06:26 \| 显示全部短消息资料字号：小中大 1楼瑞星自我保护分析及测试！！！瑞星的自我保护比09版增强很多，但还是存在很多弱点！！！若使用“家庭模式”，那么瑞星极有可能被病毒废掉，因为“家庭模式”未拦截驱动的加载，而行为引擎并不能100发现病毒啊！本贴分为两部分：一部分对瑞星挂钩的函数进行分析，二部分用工具测试瑞星自保强度！！！一部分：瑞星挂接的函数 38 NtAlpcSendWaitReceivePort 42 NtAssignProcessToJobObject 48 NtClose 64 NtCreateKey 72 NtCreateProcess 73 NtCreateProcessEx 75 NtCreateSection 78 NtCreateThread 116 NtDebugActiveProcess 123 NtDeleteKey 126 NtDeleteValueKey 127 NtDeviceIoControlFile 165 NtLoadDriver 172 NtLockVirtualMemory 189 NtOpenKey 194 NtOpenProcess 197 NtOpenSection 210 NtProtectVirtualMemory 218 NtQueryDirectoryFile 248 NtQuerySystemInformation 252 NtQueryValueKey 0x822402A2 255 NtQueueApcThread 261 NtReadVirtualMemory 267 NtRenameKey 276 NtRequestWaitReplyPort 280 NtRestoreKey 289 NtSetContextThread 305 NtSetInformationProcess 314 NtSetSecurityObject 317 NtSetSystemInformation 319 NtSetSystemTime 324 NtSetValueKey 331 NtSuspendThread 332 NtSystemDebugControl 335 NtTerminateThread 348 NtUnmapViewOfSection 358 NtWriteVirtualMemory 382 NtCreateThreadEx 分析瑞星挂钩的函数，发现若在驱动里调用"NtOpenProcess"和"NtTerminateProcess"的程序，可以秒杀瑞星的进程，因为在驱动中调用这两个函数不会经过SSDT。但是在加载驱动时，瑞星的主动防御会有提示。请不要在SSDT上挂钩函数来保护自己.从本质上说，进程终结的本质是进程的线程被全部终结，线程终结的本质是被插入了APC。所以，挂钩KiInsertQueueApc是最好的选择，瑞星为何不挂钩此函数呢。当然，DKOM也可以。其它的手段，比如擦掉自己在Csrss中的句柄，挂钩ObpCreateHandle，没有漏洞的驱动防火墙，也是必须的。其实瑞星防杀只是停留在Ring 3下的，一旦病毒进了Ring 0，就是在驱动中用最简单的NtOpenProcess + NtTerminateProcess都可以杀死，因为在驱动中调用NT系列函数是不经过SSDT的。而江民挂钩了几个很底层的函数并注册了DPC，一旦发现自己的钩子被恢复，马上又补钩上！，分别是：ObOpenObjectByPointer、ObpCreateHandle、PspTerminateProcess、KiInsertQueueApc 、 KeInsertQueueApc ，建议瑞星能在公测期间修改自身的驱动，挂钩上述函数，增强自我保护，这样即使“家庭模式”，也不怕病毒加载驱动干掉瑞星进程！！！以前看过一篇帖子，用SetParent方法干掉窗体（而帖子未说明如何实现的），帖子说：“成功干掉窗体接着重新启动之，用WndSpy来查看窗体，竟然能够得到窗体的句柄，尝试发送WM_CLOSE，成功！看来瑞星的驱动没有挂钩SSDT Shadow表上相应的函数（具体函数未列出！）”。具体实现方法，请工程师评估并测试，以便改进！！！二部分：用工具测试，瑞星的进程自保强度！！！发现瑞星的自保极不稳定，用冰刃和狙剑结束瑞星的进程，重复结束个2--3次，进程就会挂掉。 1.大名鼎鼎冰刃，用冰刃结束瑞星进程！冰刃.JPG (47.32 K) 2009-7-5 6:26:24 2.狙剑，用狙剑结束瑞星进程。狙剑.JPG (77.12 K) 2009-7-5 6:26:24 上述软件 3.malware defender，结束瑞星进程。结束进程.jpg (274.97 K) 2009-7-5 7:42:13 瑞星进程被成功结束。句柄.jpg (232.82 K) 2009-7-5 7:42:13 瑞星的句柄被成功结束。内核模块.jpg (215.30 K) 2009-7-5 7:42:13 在内核中，瑞星驱动中的线程能被成功挂起。 4.用XueTr结束瑞星进程。结束进程.jpg (176.63 K) 2009-7-5 8:01:31 用此工具能成功结束瑞星的进程。（在这里用‘结束’---- ‘强制结束’ 都可以实现。）卸载删除模块.jpg (137.29 K) 2009-7-5 8:01:31 用此工具能成功卸载瑞星的模块。对文件保护的测试！！！创建硬连接恩... Demo 的效果是把瑞星英文语言下的主界面 Home 标签改成 KSDB 20090626_d02e216a7185b5ec8a91NcXBt8F0OlK0.png (110.29 K) 2009-7-5 8:10:00 工具放在最下面了(Demo.zip)！！！希望工程师能认真阅读我的帖子，也希望能重视自我保护并改进瑞星！！！用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld) 附件: 文件名:IceSword.rar 下载次数:145 文件类型:application/octet-stream 文件大小: 上传时间:2009-7-5 6:26:24 描述:rar 附件: 文件名:SnipeSword.rar 下载次数:205 文件类型:application/octet-stream 文件大小: 上传时间:2009-7-5 6:26:24 描述:rar 附件: 文件名:md_setup_chs.rar 下载次数:181 文件类型:application/x-rar-compressed 文件大小: 上传时间:2009-7-5 8:04:10 描述:rar 附件: 文件名:XueTr.rar 下载次数:170 文件类型:application/x-rar-compressed 文件大小: 上传时间:2009-7-5 8:04:10 描述:rar 附件: 文件名:Demo.zip 下载次数:238 文件类型:application/zip 文件大小: 上传时间:2009-7-5 8:10:00 描述:zip shulun743 最后编辑于 2009-07-05 08:10:00
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	分享到：

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2009-07-05 06:28 \| 显示全部短消息资料字号：小中大 2楼回复：瑞星自我保护分析及测试！！！编辑留白 shulun743 最后编辑于 2009-07-05 08:10:36
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT