» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » hovidelphic:微点主动防御软件1.2自我保护测试   作者: 标题: hovidelphic:微点主动防御软件1.2自我保护测试 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  hovidelphic:微点主动防御软件1.2自我保护测试 我的名字叫胡文亮，1991年出生，广东广州人； 【原创】Ultra Task Manager For Windows 7 随着 Windows 7 的逐渐普及，越来越多的病毒木马开始“登陆” Windows 7 ，但是著名的安全反黑工具（冰刃、狙剑、RkU）却不支持 Windows 7 ，支持 Windows 7 的杀毒软件也很少， Windows 7 自带的“任务管理器”又是“鸡肋工具”，这给了病毒木马猖獗作案的机会。于是，我就制作了这款安全工具，给想用 Windows 7 又怕中招的朋友。         这款软件提供了六大功能：窗口管理、进程管理、文件管理、内核模块管理、SSDT查看、映象劫持管理。         绝大多数的安全反黑工具都有自我保护功能，但是“Ultra Task Manager For Windows 7”没有，因为考虑到目前 NT 6.1 内核不太成熟，挂钩内核函数很容易出问题，到时候蓝屏就坏了。        说明：理论上能在任何NT内核的系统上使用，但是只建议在Windows 7下使用，因为其它系统（如：Windows XP）还有更强的工具。运行此软件需要管理员权限或者关闭UAC，否则大部分功能无法实现。因为手头的 Windows 7 是英文版的，所以软件就用英文写了。等到 Windows 7 中文正式版出来，我再弄个中文版的。 曾获奖项（区级以上）： 广东省中学生电子作品大赛二等奖（1次） 广州市中学生电子作品大赛一等奖（2次） 广州市中学生电子作品大赛二等奖（1次） 广州市高一化学竞赛一等奖（1次） 广东省初中生物联赛二等奖（1次） hovidelphic:微点主动防御软件1.2自我保护测试2009-10-02 14:36   阅读27    微点的自我保护比较算是比较好的，因为用了比较少见的EAT HOOK和IAT HOOK。这次我测试的版本是1.2.10581.1： 1.窗体自我保护：能被普通的窗体探测器WinSpy得到窗体及其各个控件的句柄。 但是微点马上发现了自己的窗体句柄被窃取，发出了警告。 2.钩子检测：发现了数量恐怖的SSDT INLINE HOOK和KERNEL INLINE HOOK。 　　nt!IoGetRelatedDeviceObject + 0x33    　　nt!NtCreateSection + 0xfc             　　nt!NtOpenKey + 0xfd                   　　nt!NtFreeVirtualMemory + 0x2c9         　　nt!NtQueryValueKey + 0x176             　　nt!FsRtlCurrentBatchOplock + 0x20d    　　nt!NtCreateEvent + 0x67                　　nt!NtCreateKey + 0x15c                　　nt!NtOpenProcess + 0x13b               　　nt!NtProtectVirtualMemory + 0xbf       　　nt!NtSetValueKey + 0xef                　　nt!NtUnmapViewOfSection + 0x4c         　　nt!NtMapViewOfSection + 0x22a          　　nt!NtWriteFile + 0x3d                  　　nt!NtAddAtom + 0x224                   　　nt!NtTerminateThread + 0x43            　　nt!NtTerminateThread + 0x5d            　　nt!NtTerminateThread + 0x15d          　　nt!NtOpenEvent + 0x56                  　　nt!NtWriteVirtualMemory + 0x83         　　nt!NtCreateProcessEx + 0x5d            　　nt!NtTerminateProcess + 0x44          　　nt!NtTerminateProcess + 0xaf          　　nt!NtTerminateProcess + 0xe3          　　nt!ExRundownCompleted + 0x46c          　　nt!NtAccessCheckAndAuditAlarm + 0x2c   　　nt!NtOpenThread + 0xdd                　　nt!NtCreateThread + 0xd9               　　nt!NtEnumerateValueKey + 0xc0          　　nt!NtQueueApcThread + 0x82             　　nt!NtDeleteValueKey + 0xef             　　nt!NtDeleteKey + 0xa8                  　　nt!NtSetSecurityObject + 0x43          　　nt!NtAssignProcessToJobObject + 0x70   　　nt!NtCreateDirectoryObject + 0x1014    　　nt!NtLoadDriver + 0x3c                　　nt!RtlCreateRegistryKey + 0x9f         　　nt!IoUnregisterFileSystem + 0x181      　　nt!NtSuspendThread + 0x56             　　nt!NtSetContextThread + 0x2a          　　nt!NtSuspendProcess + 0x2d             　　nt!NtSetSystemTime + 0x37             　　nt!NtSystemDebugControl + 0x39         　　nt!NtRestoreKey + 0xe0                　　win32k!NtUserPeekMessage + 0x2d       　　win32k!NtUserPostMessage + 0x3c       　　win32k!NtUserMessageCall + 0x12       　　win32k!NtUserGetMessage + 0x22         　　win32k!NtUserSetWindowPos + 0xf5       　　win32k!NtUserCreateWindowEx + 0x14e    　　win32k!NtUserShowWindow + 0x79         　　win32k!NtUserMoveWindow + 0xa8         　　win32k!NtUserDrawIconEx + 0x461       　　win32k!NtUserDrawIconEx + 0x83b       　　win32k!NtUserDestroyWindow + 0x18      　　win32k!NtUserSetWindowsHookEx + 0x2e   　　win32k!NtUserFindWindowEx + 0xd8       　　win32k!NtUserPostThreadMessage + 0x7b 　　win32k!NtUserSetParent + 0x79          　　win32k!NtUserSetWindowPlacement + 0x8b 　　win32k!NtUserSendInput + 0xbe   3.进程自我保护：能在Ring 3下用远程线程杀死，原理详见《黑客防线》2009年第九期。 　　MPSVC2.exe连错误提示框都没有弹出就无声无息地死了。最大的问题是，这个漏洞我在2009年7月就发现了，并且还被我写成文章刊登到2009年9月的《黑客防线》上，但是到现在微点都没有补上这个漏洞（我现在测试的微点版本是2009年10月1日最后编译的）。 　　如果用“硬碰硬”的手段，这个版本的微点可以被我制作的Ultra Task Manager 2.0用“进程虚拟地址空间擦除”的手段杀死。 其它的进程也可以用此法结束，但是如果真的这么做，我就无法截图了（我是在真单核机上实验的，我的CPU是Pentium 4 2.8GhZ OC 3.0GhZ，内存1GB）。 4.文件自我保护：微点进程被结束后，能被EXPLORER.EXE改名和删除。 江民2010自我保护测试 http://hovidelphic.blog.163.com/ ... 6124920099191849332 瑞星2010自我保护测试 http://hovidelphic.blog.163.com/blog/static/968612492009919246587 360安全卫士6.0自我保护测试 http://hovidelphic.blog.163.com/blog/static/968612492009924816199 [ Last edited by 点饭的百度空间 on 2009-10-3 at 18:52 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-10-3 18:49 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #2   请楼主将测试使用的结束微点的程序发送到：virus@micropoint.com.cn 我们具体测试分析下！ ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-10-3 18:56 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #3   作者QQ 461515974 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-10-3 19:00 lsj301 银牌会员 积分 1388 发帖 1382 注册 2009-3-16 来自 甘肃兰州 #4   菜鸟不懂. ※ ※ ※ 本文纯属【lsj301】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 我们一直在默默支持微点! 2009-10-3 19:39 HomeSGerMine 银牌会员 ■■微点护卫队队长■■ 积分 4888 发帖 4785 注册 2009-3-8 来自 哪里有微点，哪里就有我 #5   看了一下其他杀软的自我保护，其实微点的比他们的都出色很多，瑞星的更是秒杀...无语... [ Last edited by HomeSGerMine on 2009-10-4 at 13:04 ] ※ ※ ※ 本文纯属【HomeSGerMine】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 东方之荣耀，  中华之微点！---Microp●int 2009-10-4 13:03 duaiqinghua09 新手上路 积分 30 发帖 30 注册 2009-10-4 #6   看不懂。。。也没必要懂，谁黑我电脑干嘛，电脑里除了游戏就是游戏，黑我他赚什么呢 ※ ※ ※ 本文纯属【duaiqinghua09】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-10-4 22:58 liuxinghua 新手上路 积分 2 发帖 2 注册 2009-3-8 #7   希望微点做的越来越好。 ※ ※ ※ 本文纯属【liuxinghua】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-10-17 22:14 fwind 中级用户 积分 438 发帖 436 注册 2006-8-2 #8   关注，呵呵。不过如果微点这么被结束，也会让使用者警觉了。 ※ ※ ※ 本文纯属【fwind】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-10-18 08:30 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号