微点交流论坛

标题: hovidelphic：看我干掉卡巴灭了微点1.2 众杀软自我防护能力检测总结 [打印本页]

作者: 点饭的百度空间 时间: 2009-6-29 20:45 标题: hovidelphic：看我干掉卡巴灭了微点1.2 众杀软自我防护能力检测总结

2009-06-29 12:57
我灭了微点1.2，文章在我的博客上。

我的名字叫胡文亮，1991年出生，广东广州人；
计算机编程、计算机人工智能、计算机病毒和反病毒爱好者；
有机化学爱好者；
历史学、政治学爱好者。
面向问题编程概念推广者；
Hus Angela 编程语言制作者；
MusicBox 音乐播放器（开源）作者；
Algebra System 代数系统（开源）作者；
File Manager 文件管理器（开源）作者；
HS1610 文本加密软件（开源）作者；
HUSLIB 电子图书馆（开源）作者；
《有毒化学物品合成》（未出版）作者；
小说《M先生和外星人》（未出版）作者；
小说《金星列国传》（未完工）作者。
热爱社会主义，服从China Communist Party的领导；
以马克思主义哲学指导我的生活。
接受小型软件定制工作；
拒绝任何计算机病毒、木马、Rootkit的定制工作；
不销售病毒、木马、Rootkit的代码；
不教授病毒、木马、Rootkit的制作；
不接受任何公司、团体、个人的聘请，只愿意为Government工作；
不接受任何公司、团体、个人的聘请是因为我“不差钱”；
只愿意为Government工作是因为“为Government工作就是为国家工作”。
目前正在学习VC、学习驱动开发；
正在测试市面上的主流杀毒软件和安全反黑工具的自我防护能力；
正在开发HooS-SofT Manual Anti-Virus，一款给高手用的手动杀毒软件。
欢迎和我讨论有关计算机、化学、历史和政治的话题！

【原创】Ultra Task Manager For Windows 7 [2009-6-28 更新]

随着 Windows 7 的逐渐普及，越来越多的病毒木马开始“登陆” Windows 7 ，但是著名的安全反黑工具（冰刃、狙剑、RkU）却不支持 Windows 7 ，支持 Windows 7 的杀毒软件也很少， Windows 7 自带的“任务管理器”又是“鸡肋工具”，这给了病毒木马猖獗作案的机会。于是，我就制作了这款安全工具，给想用 Windows 7 又怕中招的朋友。
      这款软件提供了六大功能：窗口管理、进程管理、文件管理、内核模块管理、SSDT查看、映象劫持管理。
      绝大多数的安全反黑工具都有自我保护功能，但是“Ultra Task Manager For Windows 7”没有，因为考虑到目前 NT 6.1 内核不太成熟，挂钩内核函数很容易出问题，到时候蓝屏就坏了。
   说明：理论上能在任何NT内核的系统上使用，但是只建议在Windows 7下使用，因为其它系统（如：Windows XP）还有更强的工具。运行此软件需要管理员权限或者关闭UAC，否则大部分功能无法实现。因为手头的 Windows 7 是英文版的，所以软件就用英文写了。等到 Windows 7 中文正式版出来，我再弄个中文版的。

2009-6-17：发布“Ultra Task Manager For Windows 7 Bata 1”，可能是世界上第一个支持 Windows 7 的安全反黑工具

软件下载地址：http://www.delphic.ys168.com 。点击“软件发布” => “UTM4WIN7.rar”
插件列表：http://hi.baidu.com/hovidelphic/ ... 451273dab4bd0d.html

曾获奖项（区级以上）：
广东省中学生电子作品大赛二等奖（1次）
广州市中学生电子作品大赛一等奖（2次）
广州市中学生电子作品大赛二等奖（1次）
广州市高一化学竞赛一等奖（1次）
广东省初中生物联赛二等奖（1次）

【发现】四条CMD命令彻底干掉NOD32 3.0

NOD32是我见过的最好欺负的杀毒软件，因为干掉它不仅不用编程，连“映像劫持”这种稍微高级的技术也不用。真是不知道它是怎样进入“世界杀软前十名”的。废话不说直接给出CMD代码。[NOD32的目录是C:\Program Files\ESET\ESET NOD32 Antivirus，测试版本是3.0.669。]

mkdir "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe.manifest"
mkdir "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe.manifest"
tskill ekrn
tskill egui
觉得不保险的话，把最后两句重复100次。下次开机时，NOD32也无法启动了。

唉，我也是用NOD32的，它的自我防护能力这么差劲，还是依靠我写的程序来保护它的安全吧！哪天写好了传上来，用“直接内核对象操作”的方法，把KTHREAD结构有关APC的部位全部改成“拒绝”，除了填零虚拟内存，什么东西都杀不死。

【发现】收拾瑞星2009

      打开冰刃，发现它的自我保护就是在SSDT上挂钩用来打开、结束、挂起进程和线程的Native API，还挂了"NtAssignProcessToJobObject"，想利用作业对象大法间接调用PspTerminateProcess结束进程的想法落空了，但是没有在意是否有挂钩"NtDuplicateObject"。不过我听别人说，很多时候杀软挂钩了"NtDuplicateObject"也是白搭。
      看到这里，我拿出一个在驱动里调用"NtOpenProcess"和"NtTerminateProcess"的程序，秒杀了瑞星的进程，因为在驱动中调用这两个函数不会经过SSDT。但是在加载驱动时，瑞星的主动防御会有提示。
      可惜，瑞星2009的驱动防御并非滴水不漏。在2009年5月的《黑客防线》中就提到了一个绕过瑞星2009驱动监控加载驱动的办法。瑞星会在毫无声息中死去了（我没有测试，只是看那个作者那么说）。
      其实，杀死瑞星还有许多投机取巧的办法，这里就不说了，免得挨整。
      我再次提醒各大杀毒软件厂商，请不要在SSDT上挂钩函数来保护自己，没有什么鸟用的。马克思告诉我，看问题要看本质。从本质上说，进程终结的本质是进程的线程被全部终结，线程终结的本质是被插入了APC。所以，挂钩KiInsertQueueApc是最好的选择。当然，DKOM也可以。其它的手段，比如擦掉自己在Csrss中的句柄，挂钩ObpCreateHandle，没有漏洞的驱动防火墙，也是必须的。

【发现】再次恶整瑞星

   在我收拾过的杀毒软件里，瑞星2009的主动防御还是比较出色的。虽然杀死瑞星的进程很简单，但是都会触发瑞星的主动防御。这让我十分不爽，于是我决定在不触发瑞星主动防御的前提下，再整治瑞星一次。

   首先我把我从VBGOOD上学来的RING3杀进程六大恶心方法全部尝试了一次，结果如下：
关联作业对象：失败
调试活动进程：失败
内存填中断：失败
卸载NTDLL：失败
建立远程线程：失败
向所有线程发送退出消息：失败

   呵呵，不失败就奇怪了，因为瑞星早就在SSDT上把相应的原生API给挂钩了。想用“EXE注入”的方法启动一个瑞星信任傀儡进程来加载驱动，又失败了。

   莫非真的没有办法了？我想起“民间数学家”还教过我一个SetParent的方法干掉窗体，赶紧拿出来尝试，托盘图标消失了！重新启动窗体后，用WndSpy来查看窗体，竟然能够得到窗体的句柄，尝试发送WM_CLOSE，成功！事后拿出陈辉的工具查看SSDT Shadow，发现瑞星的驱动没有挂钩SSDT Shadow表上相应的函数。看来，瑞星的保护不太到家啊！

   其实瑞星防杀只是停留在Ring 3下的，一旦病毒进了Ring 0，就是在驱动中用最简单的NtOpenProcess + NtTerminateProcess都可以杀死，因为在驱动中调用NT系列函数是不经过SSDT的。

【发现】恶整“360安全卫士”

且不说随便用PspTerminateProcess就能要了360的狗命，其实要阻止它启动，也是极其容易的：搞个“win95 兼容性设置”就可以了。--微点已解决此问题

【发现】卡巴斯基2009自我防护测试

      卡巴斯基真不愧是“卡吧死机”，重启后电脑慢如老牛（Pentium 4 2.8GHz、1GB DDR、Windows XP-SP2）。不过电脑的安全性很高，启动我写的SSDT查看工具时，都会触发主动防御（提升权限）。KIS2009依然是在SSDT上保护自身，不过钩了很多函数，连NtDuplicateObject都没放过。看来，作业对象、调试进程、内存填中断等下三滥手段都失效了。后来我想利用傀儡进程的办法绕过主动防御，但还是不行。因为在启动时会触发主动防御。
      先不管这些，掏出PspTerminateProcess，杀死了两个AVP.EXE，谁知，瞬间死机了！再试一次，还是如此。看来，卡巴斯基2009的防护手段很萎缩啊，竟然更改了KPROCESS的BreakOnTermination位置。
      研究陷入了困境，虽然说可以把KPROCESS的BreakOnTermination位置改过来，但是肯定要加载驱动或者使用NtSystemDebugControl，所以放弃了。
      搞进程不行，就搞文件。用CMD在卡巴斯基的文件夹下新建一个“avp.exe.manifest”文件。重启后，卡巴斯基2009不再启动了。随后驱动删除文件，搞定。

【发现】搞残KV2009

      早就听说KV2009很难杀，于是特地下载了一个来测试。    打开冰刃，察看SSDT，发现没有红色！又打开RkU，发现了几个钩子，但是没有显示出函数名。后来听高人说，KV2009挂钩了几个很底层的函数，分别是：ObOpenObjectByPointer、ObpCreateHandle、PspTerminateProcess、KiInsertQueueApc。我一听，晕倒了。我处决进程的手段都被防了。
      但是我还是想到一个办法，可以用干掉KV2009的托盘图标。打开记事本，输入下列代码，并保存为kkv.bat。
assoc .kxp=kxpf
ftype kxpf=smss.exe
      重新启动后，KV2009的托盘图标就消失了。而且，KV2009的主动防御功能貌似也失效了。
      炉子[0GiNr]还有另外一种办法：先用NtDuplicateObject复制了江民监控进程的句柄，用内存清零的办法杀死江民监控进程。大约20秒后，江民2009的红色托盘图标就消失了。但是，炉子[0GiNr]的方法会在20秒内使电脑无响应，有头脑的人都知道自己中招了。
      如果你是个超级猛人，可以直接恢复江民的KiInsertQueueApc钩子，并在10毫秒内执行（江民会每隔10毫秒检测钩子是否被恢复，如果是，则又马上钩上）。
   从普通电脑使用者的角度上看，江民是最值得选择的杀毒软件，因为它实在是太难杀了。我向毛主席发誓，我不是在为江民卖广告，这是我的切身体会。这两个小漏洞，只要江民稍微挂一下钩子，就无法使用了。而且江民的主动防御不是在SSDT上拦截的（普通杀软都是在SSDT上拦截可疑操作，只要恢复SSDT，就可以绕过监控），我到现在也不清楚江民是怎样实现主动防御的。
      但是我作为编程爱好者，坚决不用江民杀毒软件，因为如果每次写杀进程的代码时，都发现杀不死江民，岂不是很郁闷？

【原创】收拾微点1.2
2009-06-25 13:07

      微点是我最后要收拾的一个安全软件，因为我听说它“进化”到和江民一样难以收拾了。

      默认安装完微点，重启后，打开冰刃，查看SSDT，当即晕了：一片黑色！估计危险的函数都被Inline hook了。又打开RkU，查看钩子，发现EAT HOOK了不少函数，其中包括著名的KeInsertQueueApc。看来，我的工具是杀不死的。

      掏出狙剑，谁知根本无法运行（没有任何提示），拿出业界大牛陈辉的ARK天琊，竟然提示是“风险程序”！只好重新拿出RkU。使用“Force Kill + File Wipe”功能，谁知，惊人的一幕又发生了！

   杀完四个进程的三个，RkU竟然被关闭了！而且，再也无法运行了！一旦出现RkU，马上就会被删除。

   最后，只好卸载微点。我实在没有任何办法收拾它了。

   难道我真的没有办法收拾微点？我不信！这不可能！

   我把微点卸载干净后重新安装了一次，再次拿出RkU。

   先恢复了两个Io开头的钩子，又恢复了KeInsertQueueApc。

      然后强杀进程，但是仍然有一个进程杀不死。

      随后，我进入微点的文件夹，把所有EXE改了名，例如：mp3.fuck。

      重新启动后，微点也出不来了。

      要说的是，RkU强杀进程的方法是“虚拟内存地址填零”，在2009年的《黑客防线》上有代码。具体哪期忘了，反正是2月之后6月之前的。另外，我之所以能改文件名，估计就是因为恢复了两个Io开头的函数。这点，微点还是学得不到家。江民注册了DPC，一旦发现自己的钩子被恢复，马上又补钩上！

作者 "杀软测试" 分类下的文章：
【原创】消灭金山毒霸2009
【原创】收拾诺顿2009
【原创】收拾BitDefender 2008
http://hi.baidu.com/hovidelphic/ ... 1%C8%ED%B2%E2%CA%D4

[ Last edited by 点饭的百度空间 on 2009-8-6 at 16:59 ]

作者: 点饭的百度空间 时间: 2009-6-29 20:48
【hovidelphic】杀软自我防护能力检测总结＆个人选择杀软的意见
2009-06-25 13:41

      这次杀软测评给我的感受颇深，有的在 Ring 3 下被轻易 K 掉了，有的在 Ring 0 下还整了很久才死。从逻辑上说，一个保镖要保护主人的安全，至少要先保证自己的安全，否则，一切都是空谈。像“江民”和“微点”，我都是费了九牛二虎之力才弄死的，而像“金山”和“瑞星”，却是在弹指之间被杀害的。

      测试到这里，应该结束了。我根据我的体验，给出推荐列表：

      NO.1：江民
      NO.2：微点
      NO.3：诺顿2009(机器配置一般)
      NO.3：卡巴2009(机器配置较好)

      我个人用的杀软：NOD32 3.0。

      原因：占用资源很小，没有主动防御，不会乱搞文件。

      同时，我也推荐搞内核的朋友用 NOD32 3.0 ，原因同上。

作者: 江上钓雪 时间: 2009-6-29 21:13
很认真的看了一遍，因为不学这个，看的一头雾水，不过对历史，对政治还是比较感兴趣，不过看楼主也就一90后，所以沟通上会有一定代沟。

作者: wdxboy 时间: 2009-6-30 00:11
这些杀软真的像你这样说的不堪一击吗?

作者: cp0577 时间: 2009-6-30 00:34
个人感觉还是微点第一

作者: qq200878 时间: 2009-6-30 07:33
RkU的Force Kill能杀微点？那是581.108以前的事了.而且楼主用RKU扫EAT，默认微点是会报的，你只有把RKU加入可信才能操作，但这样以来测试还有意义吗？所以LZ的方法其实没有意义，因为没有人会看到报警了还放行的

[ Last edited by qq200878 on 2009-6-30 at 07:42 ]

作者: 点饭的百度空间 时间: 2009-6-30 18:49
新版微点已加强了自我保护 APC代码注入Ring3强杀微点不能 shineast主动防御软件结束不能 EQ结束不能干掉微点等××\HLJLEO.SYS：Trojan name:Backdoor.Win32.HacDef.xu

作者: mina221 时间: 2009-6-30 19:14
:lol:
所有的软件都是不断更新完善的···一时干掉不等于永远都能干掉
{···魔高一尺道高一丈··} :D 杀杀防防防防杀杀

作者: ChiChou 时间: 2009-6-30 19:36
“SetParent”，“Win95兼容性”，“.manifest”

不知作者哪儿见到的。
"Win95兼容性"在我发文的数小时内就对360无效了。。。。。

名词用了一大堆，基本是抄别人的东西。。。
作者的装X功夫了得。

作者: 我不爱小妖精 时间: 2009-6-30 23:20
重头到尾看了一遍，一个字，晕……

作者: 心随风落 时间: 2009-7-1 10:32
貌似手动想怎么都可以，如何用程序来实现呢？

作者: 心随风落 时间: 2009-7-1 10:34
作者昨晚在其博客说今天还要虐待一次微点

作者: ppqq6699 时间: 2009-7-1 12:52
这么年轻这么博学多才啊

作者: 046569 时间: 2009-7-1 20:50
之前的文字大部分都是别人的想法,没看到自己独创的.
期待看到特别点的东西.

作者: yuanha168 时间: 2009-7-2 06:41
这人以后前途无量啊。。。19岁。。。我19岁只会玩游戏。哪懂什么电脑知识

作者: rainman 时间: 2009-8-4 19:14
19岁的时候，我可能还没摸上电脑！

作者: qq2008444 时间: 2009-8-4 20:21
'Hovi.Delphic已在网上消失，但是仍然遭到不少人妒忌……'
这就是结尾。

作者: kunglee138 时间: 2009-8-5 22:49
希望下次能测试下小红伞（avira）和微点的组合，能否被终结

作者: 化外愚民 时间: 2009-8-6 14:42
手工改名字，不算成功啊，因为自己本人可不算病毒啊。

作者: lktianxia 时间: 2009-8-6 14:54
lz真的很强啊。

作者: yangzhen 时间: 2009-8-6 21:41 标题: 尊重对手，才能进步！

世间矛与盾，就是一出戏。斗争就是发展的动力嘛！希望更多勇士挑战微点及其他软件，促进发展，这样我们也得到了更多的好处。垄断就是前进的腐蚀力。:P

作者: 飘凌风 时间: 2009-8-6 23:10
不知道楼主的卡巴是哪个版本，不过至少看来你的配置比我好，我才CD2.4的，kis8.0 2圈进系统

作者: jjyy2007 时间: 2009-8-31 17:57
G产zhu义的坚定拥护者，
我的天，幸好才十几岁
要知道，现在痛恨734的人，很多都是十几岁时候充满自豪的喜欢734的人
一旦跨入社会，才会知道，734是多么可恶
由734一手操办的，从05年到现在的房地产热，加上今年10万亿的天量贷款和4万亿的固定资产投资，将断送80后整整一代人的幸福，整个80后将成为填补734制造的金融陷阱的牺牲品，90后还感觉不到吧，当然，等他们感觉到了，他们就不会高呼我是734的坚定支持者。

作者: jackybaby 时间: 2009-9-1 09:55
LZ不觉得杀微点的方法有点搞笑吗？那也叫杀？那叫“君要臣死，臣不得不死”。
以一个入侵者的角度，怎么做到这点，你试验过吗？

作者: 坐照 时间: 2009-9-1 16:43
真的假的？这年头吹NB的太多了

作者: tttt 时间: 2009-9-2 11:18
l楼主还真牛啊！

作者: 42602363 时间: 2009-9-15 13:38
手工操作的，不算。

用程序全自动完成才算。

如果可以手工操作的话，那我从光盘启动，去把各种杀软的文件都删掉，这算不算？

作者: 42602363 时间: 2009-9-15 13:44
19岁还很年轻，
我19岁的时候对操作系统没有楼主这么了解。在2000/XP下从Ring3切入Ring0都是抄的别人的代码。而且还看不大懂。不过貌似楼主也都是在抄的别人的代码。

作者: 42602363 时间: 2009-9-15 13:53
好像楼主说到他开发的一个工具需要关掉UAC才能正常执行？
如果楼主的工具比UAC强大，倒也未尝不可，但如果不如UAC，那就什么都不是。

作者: 馨香宝贝 时间: 2009-9-15 16:26
要是安全软件都这么脆弱！那微点现在也不用混了！

作者: ileoknight 时间: 2009-9-20 00:00
微点自我保护强于江民的，属于骨灰变态级

作者: swboys 时间: 2009-9-22 17:35
你真牛啊。。。人才一个

作者: okxugang 时间: 2009-9-28 00:38
怎么没有测试大蜘蛛啊,很想看看

作者: xiepengx 时间: 2009-10-7 10:39
对楼主的研究精神还是很佩服的，但是怎么感觉干掉那些杀软的方法有些事自己人为的弄，如果真的是网络入侵的话- -，不至于这么脆弱吧。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn