金山毒霸突破瑞星自保的详细过程分析报告

下面我将逐步讲述金山毒霸11多步操作下突破瑞星自保并最终禁止瑞星杀毒软件自启的过程。



首先对瑞星杀毒软件做一番设置,自我保护开启事件提示,广告弹窗拦截和流氓推广拦截保持关闭,然后运行猎豹免费WiFi的安装包,保持金山毒霸的勾选开始安装。



首先金山毒霸是通过猎豹免费WiFI进行绑定静默安装,安装完成看起来是任务栏图标是黑的,金山毒霸没有安装成功,实际上这只是一个开始。



下面我们运行一遍金山毒霸的更新程序,等待一段时间后,提示更新完成,这时候我们进行第一次重启,重启之后,我们运行一次金山毒霸的全面扫描,扫描会提示发现一些威胁项,当我们按下执行时,瑞星杀毒软件的自保提示开始报警了,如下图所示。





这时候我们再做一次重启,就会发现,瑞星杀毒软件的自启居然开始受UAC管制了,似乎整个瑞星杀毒软件都被降权了一般,这个时候运行一次金山毒霸的开机优化,这时候我们发现金山毒霸提示有一项需要优化,但是没有提示是什么,当我们执行一遍优化,再来一次重启之后,就会发现,瑞星星杀毒软件没有成功自启。这时双击桌面上的快捷方式,启动瑞星杀毒软件,就能发现托盘伞状图标变红,所有防御无法打开了。



这个时候你可能想试图运行修复程序,没用的,修复程序似乎也被降权了,就算是此时卸载金山毒霸,直接点击开始菜单里的修复程序也没有任何反应,必须得打开文件所在的位置,以管理员身份运行瑞星修复程序,修复才能开始。这就是金山毒霸通过猎豹免费WiFi入手,基于开机加速的逐步突破瑞星自保,并逐步瘫痪瑞星杀毒软件的过程。这样一个过程需要通过多次重启来完成,在实际环境中这将花费数天甚至更长的时间,也更难被发现。



虽然不知道金山毒霸到底是怎么做到的,以及其真实意图,但是这客观上暴露了瑞星杀毒软件自保上存在的缺陷,恰恰可以成为研究瑞星自保程序缺陷的机会。

用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0
最后编辑dg1vg4 最后编辑于 2018-07-11 12:55:39
天下没有免费的午餐,人是安全中最薄弱的环节。