标题:
你的杀软真的有主动防御吗?
[打印本页]
作者:
纪念-蛋蛋
时间:
2008-3-21 15:52
标题:
你的杀软真的有主动防御吗?
目前主动防御的概念已经深入人心,许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,防止自启动项以及IE相关键值被修改,对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,我们仍然可以绕过注册表监控修改注册表。
绕过注册表监控的方法不止一种,应根据不同情况灵活运用。 除了本演示程序使用的操作HIVE文件修改注册表的方法,我们还可以写驱动解除注册表监控程序的钩子,或者直接调用CmXXXXX等未导出函数来操作注册表等。
测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件,我写的这个演示程序均可以突破他们不被拦截,实现修改注册表。
本程序仅作科普以及安全警示之用,旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。
附件一是程序运行界面截图
附件二是程序的压缩包,大家解压后,可以按方法测试一下你自己的杀软
附件 1:
bypass.jpg
(2008-3-21 15:53, 47.19 K,下载次数: 26)
作者:
纪念-蛋蛋
时间:
2008-3-21 15:53
压缩文件不能上传,晕
作者:
纪念-蛋蛋
时间:
2008-3-21 15:55
这个程序是从嬴政某个帖子里下载的,微点毫无反应
作者:
Legend
时间:
2008-3-21 16:21
微点已经能够很好的拦截处理此程序,由于此程序的特殊性,建议楼主不要自己进行测试分析。
作者:
纪念-蛋蛋
时间:
2008-3-21 16:42
既然能拦截,那么希望能有所提示,要不还以为什么也没发生呢
作者:
hellen
时间:
2008-3-21 22:39
这个软件厉害,可见道高一尺难呀!
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
bypass.jpg (2008-3-21 15:53, 47.19 K,下载次数: 26)
