发表于: 2009-07-19 11:42 | 显示全部 短消息 资料
字号: 1楼

对自我保护的建议!!!

        发现瑞星防杀只是停留在Ring 3下的,一旦病毒进了Ring 0,就是在驱动中用最简单用最简单的NtOpenProcess+
NtTerminateProcess都可以杀死,因为在驱动中调用NT系列函数是不经过SSDT的。而进程终结的本质是进程的线程被全部终结,线程终结的本质是被插入了APC。   
      所以,挂钩KiInsertQueueApc是最好的选择,瑞星为何不挂钩此函数呢。当然,DKOM也可以。其它的手段,比如擦掉自己在Csrss中的句柄,挂钩ObpCreateHandle。建议瑞星能在公测期间修改自身的驱动,挂钩几个很底层的函数 如:ObOpenObjectByPointerObpCreateHandle、PspTerminateProcessKiInsertQueueApc KeInsertQueueApc 并注册DPC,增强自我保护!!!

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.0; zh-CN; rv:1.9.1.1) Gecko/20090715 Firefox/3.5.1 (.NET CLR 3.5.30729)