Board logo

标题: 绕过KeInitializeApc,KeInsertQueueApc钩子,结束微点主防和杀毒 [打印本页]
作者: 点饭的百度空间     时间: 2010-11-9 10:32    标题: 绕过KeInitializeApc,KeInsertQueueApc钩子,结束微点主防和杀毒

ithurricane/绕过KeInitializeApc,KeInsertQueueApc钩子,结束微点主防和杀毒~~~

2010-11-08 17:21

最近这段时间在加强进程相关的逻辑,

因为进程相关是最早实现的,很多逻辑还有不足之处,

感觉文件和注册表两块可以应付了,现在主要修改进程相关的逻辑,

在强制结束进程的时候,发觉360卫士和杀毒蛮容易杀掉的,

结束微点有点困难,并且测试了一些主流的ARK,

wsyscheck,冰刃,SysReveal都无法结束微点杀毒,

阻剑不知为何启动不了,无法测试,

xuetr一般结束时无法结束微点,强制结束的时候可以

微点主要是钩住了KeInitializeApc(inline hook)

KeInsertQueueApc(EAT hook)

所以难以结束它的进程,

于是我采取绕过的方式,个人比较喜欢绕过,而不是强行恢复钩子,这样比较和谐了~~~

取得KeInsertQueueApc的原始地址,

并且自己实现KeInitializeApc(其实就是简单的填充PRKAPC这个结构体了)

就绕过了钩子,可以结束微点主防和杀毒了,

顺便也绕过了PsTerminateSystemThread的钩子,

暂时应该够应付了吧。

PowerTool更新到V3.0,新增了ADS流的检测~~~
网盘下载地址:
[url]***********.0.zip[/url]

[ Last edited by Legend on 2010-11-9 at 11:56 ]
作者: Legend     时间: 2010-11-9 11:51
感谢楼主的反馈,我们具体的进行分析。谢谢!
作者: images     时间: 2010-11-9 14:11
名称:
Rootkit.Win32.00193FAF
文件:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\POWERTOOLV3[1].0\POWERTOOLV3.0\POWERTOOL.EXE是木马,是否要删除此文件?
杀毒直接报警
作者: 反黑先锋     时间: 2010-11-14 10:57





欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn