»
游客:
注册
|
登录
|
帮助
微点交流论坛
»
主动防御
» hovidelphic:看我干掉卡巴灭了微点1.2 众杀软自我防护能力检测总结
34
1/4
1
2
3
4
>
作者:
标题: hovidelphic:看我干掉卡巴灭了微点1.2 众杀软自我防护能力检测总结
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#1
hovidelphic:看我干掉卡巴灭了微点1.2 众杀软自我防护能力检测总结
2009-06-29 12:57
我灭了微点1.2
,文章在我的博客上。
我的名字叫胡文亮,1991年出生,广东广州人;
计算机编程、计算机人工智能、计算机病毒和反病毒爱好者;
有机化学爱好者;
历史学、政治学爱好者。
面向问题编程概念推广者;
Hus Angela 编程语言制作者;
MusicBox 音乐播放器(开源)作者;
Algebra System 代数系统(开源)作者;
File Manager 文件管理器(开源)作者;
HS1610 文本加密软件(开源)作者;
HUSLIB 电子图书馆(开源)作者;
《有毒化学物品合成》(未出版)作者;
小说《M先生和外星人》(未出版)作者;
小说《金星列国传》(未完工)作者。
热爱社会主义,服从China Communist Party的领导;
以马克思主义哲学指导我的生活。
接受小型软件定制工作;
拒绝任何计算机病毒、木马、Rootkit的定制工作;
不销售病毒、木马、Rootkit的代码;
不教授病毒、木马、Rootkit的制作;
不接受任何公司、团体、个人的聘请,只愿意为Government工作;
不接受任何公司、团体、个人的聘请是因为我“不差钱”;
只愿意为Government工作是因为“为Government工作就是为国家工作”。
目前正在学习VC、学习驱动开发;
正在测试市面上的主流杀毒软件和安全反黑工具的自我防护能力;
正在开发HooS-SofT Manual Anti-Virus,一款给高手用的手动杀毒软件。
欢迎和我讨论有关计算机、化学、历史和政治的话题!
【原创】Ultra Task Manager For Windows 7 [2009-6-28 更新]
随着 Windows 7 的逐渐普及,越来越多的病毒木马开始“登陆” Windows 7 ,但是著名的安全反黑工具(冰刃、狙剑、RkU)却不支持 Windows 7 ,支持 Windows 7 的杀毒软件也很少, Windows 7 自带的“任务管理器”又是“鸡肋工具”,这给了病毒木马猖獗作案的机会。于是,我就制作了这款安全工具,给想用 Windows 7 又怕中招的朋友。
这款软件提供了六大功能:窗口管理、进程管理、文件管理、内核模块管理、SSDT查看、映象劫持管理。
绝大多数的安全反黑工具都有自我保护功能,但是“Ultra Task Manager For Windows 7”没有,因为考虑到目前 NT 6.1 内核不太成熟,挂钩内核函数很容易出问题,到时候蓝屏就坏了。
说明:理论上能在任何NT内核的系统上使用,但是只建议在Windows 7下使用,因为其它系统(如:Windows XP)还有更强的工具。运行此软件需要管理员权限或者关闭UAC,否则大部分功能无法实现。因为手头的 Windows 7 是英文版的,所以软件就用英文写了。等到 Windows 7 中文正式版出来,我再弄个中文版的。
2009-6-17:发布“Ultra Task Manager For Windows 7 Bata 1”,可能是世界上第一个支持 Windows 7 的安全反黑工具
软件下载地址:
http://www.delphic.ys168.com
。点击“软件发布” => “UTM4WIN7.rar”
插件列表:
http://hi.baidu.com/hovidelphic/ ... 451273dab4bd0d.html
曾获奖项(区级以上):
广东省中学生电子作品大赛二等奖(1次)
广州市中学生电子作品大赛一等奖(2次)
广州市中学生电子作品大赛二等奖(1次)
广州市高一化学竞赛一等奖(1次)
广东省初中生物联赛二等奖(1次)
【发现】四条CMD命令彻底干掉NOD32 3.0
NOD32是我见过的最好欺负的杀毒软件,因为干掉它不仅不用编程,连“映像劫持”这种稍微高级的技术也不用。真是不知道它是怎样进入“世界杀软前十名”的。废话不说直接给出CMD代码。[NOD32的目录是C:\Program Files\ESET\ESET NOD32 Antivirus,测试版本是3.0.669。]
mkdir "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe.manifest"
mkdir "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe.manifest"
tskill ekrn
tskill egui
觉得不保险的话,把最后两句重复100次。下次开机时,NOD32也无法启动了。
唉,我也是用NOD32的,它的自我防护能力这么差劲,还是依靠我写的程序来保护它的安全吧!哪天写好了传上来,
用“直接内核对象操作”的方法,把KTHREAD结构有关APC的部位全部改成“拒绝”,除了填零虚拟内存,什么东西都杀不死。
【发现】收拾瑞星2009
打开冰刃,发现它的自我保护就是在SSDT上挂钩用来打开、结束、挂起进程和线程的Native API,还挂了"NtAssignProcessToJobObject",想利用作业对象大法间接调用PspTerminateProcess结束进程的想法落空了,但是没有在意是否有挂钩"NtDuplicateObject"。不过我听别人说,很多时候杀软挂钩了"NtDuplicateObject"也是白搭。
看到这里,我拿出一个在驱动里调用"NtOpenProcess"和"NtTerminateProcess"的程序,秒杀了瑞星的进程,因为在驱动中调用这两个函数不会经过SSDT。但是在加载驱动时,瑞星的主动防御会有提示。
可惜,瑞星2009的驱动防御并非滴水不漏。在2009年5月的《黑客防线》中就提到了一个绕过瑞星2009驱动监控加载驱动的办法。瑞星会在毫无声息中死去了(我没有测试,只是看那个作者那么说)。
其实,杀死瑞星还有许多投机取巧的办法,这里就不说了,免得挨整。
我再次提醒各大杀毒软件厂商,请不要在SSDT上挂钩函数来保护自己,没有什么鸟用的。马克思告诉我,看问题要看本质。从本质上说,进程终结的本质是进程的线程被全部终结,线程终结的本质是被插入了APC。所以,挂钩KiInsertQueueApc是最好的选择。当然,DKOM也可以。其它的手段,比如擦掉自己在Csrss中的句柄,挂钩ObpCreateHandle,没有漏洞的驱动防火墙,也是必须的。
【发现】再次恶整瑞星
在我收拾过的杀毒软件里,瑞星2009的主动防御还是比较出色的。虽然杀死瑞星的进程很简单,但是都会触发瑞星的主动防御。这让我十分不爽,于是我决定在不触发瑞星主动防御的前提下,再整治瑞星一次。
首先我把我从VBGOOD上学来的RING3杀进程六大恶心方法全部尝试了一次,结果如下:
关联作业对象:失败
调试活动进程:失败
内存填中断:失败
卸载NTDLL:失败
建立远程线程:失败
向所有线程发送退出消息:失败
呵呵,不失败就奇怪了,因为瑞星早就在SSDT上把相应的原生API给挂钩了。想用“EXE注入”的方法启动一个瑞星信任傀儡进程来加载驱动,又失败了。
莫非真的没有办法了?我想起“民间数学家”还教过我一个SetParent的方法干掉窗体,赶紧拿出来尝试,托盘图标消失了!重新启动窗体后,用WndSpy来查看窗体,竟然能够得到窗体的句柄,尝试发送WM_CLOSE,成功!事后拿出陈辉的工具查看SSDT Shadow,发现瑞星的驱动没有挂钩SSDT Shadow表上相应的函数。看来,瑞星的保护不太到家啊!
其实瑞星防杀只是停留在Ring 3下的,一旦病毒进了Ring 0,就是在驱动中用最简单的NtOpenProcess + NtTerminateProcess都可以杀死,因为在驱动中调用NT系列函数是不经过SSDT的。
【发现】恶整“360安全卫士”
且不说随便用PspTerminateProcess就能要了360的狗命,其实要阻止它启动,也是极其容易的:搞个“win95 兼容性设置”就可以了。--微点已解决此问题
【发现】卡巴斯基2009自我防护测试
卡巴斯基真不愧是“卡吧死机”,重启后电脑慢如老牛(Pentium 4 2.8GHz、1GB DDR、Windows XP-SP2)。不过电脑的安全性很高,启动我写的SSDT查看工具时,都会触发主动防御(提升权限)。KIS2009依然是在SSDT上保护自身,不过钩了很多函数,连NtDuplicateObject都没放过。看来,作业对象、调试进程、内存填中断等下三滥手段都失效了。后来我想利用傀儡进程的办法绕过主动防御,但还是不行。因为在启动时会触发主动防御。
先不管这些,掏出PspTerminateProcess,杀死了两个AVP.EXE,谁知,瞬间死机了!再试一次,还是如此。看来,卡巴斯基2009的防护手段很萎缩啊,竟然更改了KPROCESS的BreakOnTermination位置。
研究陷入了困境,虽然说可以把KPROCESS的BreakOnTermination位置改过来,但是肯定要加载驱动或者使用NtSystemDebugControl,所以放弃了。
搞进程不行,就搞文件。用CMD在卡巴斯基的文件夹下新建一个“
avp.exe.manifest
”文件。重启后,卡巴斯基2009不再启动了。随后驱动删除文件,搞定。
【发现】搞残KV2009
早就听说KV2009很难杀,于是特地下载了一个来测试。 打开冰刃,察看SSDT,发现没有红色!又打开RkU,发现了几个钩子,但是没有显示出函数名。后来听高人说,KV2009挂钩了几个很底层的函数,分别是:ObOpenObjectByPointer、ObpCreateHandle、PspTerminateProcess、KiInsertQueueApc。我一听,晕倒了。我处决进程的手段都被防了。
但是我还是想到一个办法,可以用干掉KV2009的托盘图标。打开记事本,输入下列代码,并保存为kkv.bat。
assoc .kxp=kxpf
ftype kxpf=smss.exe
重新启动后,KV2009的托盘图标就消失了。而且,KV2009的主动防御功能貌似也失效了。
炉子[0GiNr]还有另外一种办法:先用NtDuplicateObject复制了江民监控进程的句柄,用内存清零的办法杀死江民监控进程。大约20秒后,江民2009的红色托盘图标就消失了。但是,炉子[0GiNr]的方法会在20秒内使电脑无响应,有头脑的人都知道自己中招了。
如果你是个超级猛人,可以直接恢复江民的KiInsertQueueApc钩子,并在10毫秒内执行(江民会每隔10毫秒检测钩子是否被恢复,如果是,则又马上钩上)。
从普通电脑使用者的角度上看,江民是最值得选择的杀毒软件,因为它实在是太难杀了。我向毛主席发誓,我不是在为江民卖广告,这是我的切身体会。这两个小漏洞,只要江民稍微挂一下钩子,就无法使用了。而且江民的主动防御不是在SSDT上拦截的(普通杀软都是在SSDT上拦截可疑操作,只要恢复SSDT,就可以绕过监控),我到现在也不清楚江民是怎样实现主动防御的。
但是我作为编程爱好者,坚决不用江民杀毒软件,因为如果每次写杀进程的代码时,都发现杀不死江民,岂不是很郁闷?
【原创】收拾微点1.2
2009-06-25 13:07
微点是我最后要收拾的一个安全软件,因为我听说它“进化”到和江民一样难以收拾了。
默认安装完微点,重启后,打开冰刃,查看SSDT,当即晕了:一片黑色!估计危险的函数都被Inline hook了。又打开RkU,查看钩子,发现EAT HOOK了不少函数,其中包括著名的KeInsertQueueApc。看来,我的工具是杀不死的。
掏出狙剑,谁知根本无法运行(没有任何提示),拿出业界大牛陈辉的ARK天琊,竟然提示是“风险程序”!只好重新拿出RkU。使用“Force Kill + File Wipe”功能,谁知,惊人的一幕又发生了!
杀完四个进程的三个,RkU竟然被关闭了!而且,再也无法运行了!一旦出现RkU,马上就会被删除。
最后,只好卸载微点。我实在没有任何办法收拾它了。
难道我真的没有办法收拾微点?我不信!这不可能!
我把微点卸载干净后重新安装了一次,再次拿出RkU。
先恢复了两个Io开头的钩子,又恢复了KeInsertQueueApc。
然后强杀进程,但是仍然有一个进程杀不死。
随后,我进入微点的文件夹,把所有EXE改了名,例如:mp3.fuck。
重新启动后,微点也出不来了。
要说的是,RkU强杀进程的方法是“虚拟内存地址填零”,在2009年的《黑客防线》上有代码。具体哪期忘了,反正是2月之后6月之前的。另外,我之所以能改文件名,估计就是因为恢复了两个Io开头的函数。这点,微点还是学得不到家。江民注册了DPC,一旦发现自己的钩子被恢复,马上又补钩上!
作者 "杀软测试" 分类下的文章:
【原创】消灭金山毒霸2009
【原创】收拾诺顿2009
【原创】收拾BitDefender 2008
http://hi.baidu.com/hovidelphic/ ... 1%C8%ED%B2%E2%CA%D4
[
Last edited by 点饭的百度空间 on 2009-8-6 at 16:59
]
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-6-29 20:45
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#2
【hovidelphic】杀软自我防护能力检测总结 & 个人选择杀软的意见
2009-06-25 13:41
这次杀软测评给我的感受颇深,有的在 Ring 3 下被轻易 K 掉了,有的在 Ring 0 下还整了很久才死。从逻辑上说,一个保镖要保护主人的安全,至少要先保证自己的安全,否则,一切都是空谈。像“江民”和“微点”,我都是费了九牛二虎之力才弄死的,而像“金山”和“瑞星”,却是在弹指之间被杀害的。
测试到这里,应该结束了。我根据我的体验,给出推荐列表:
NO.1:江民
NO.2:微点
NO.3:诺顿2009(机器配置一般)
NO.3:卡巴2009(机器配置较好)
我个人用的杀软:NOD32 3.0。
原因:占用资源很小,没有主动防御,不会乱搞文件。
同时,我也推荐搞内核的朋友用 NOD32 3.0 ,原因同上。
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-6-29 20:48
江上钓雪
注册用户
积分 92
发帖 92
注册 2008-6-20
#3
很认真的看了一遍,因为不学这个,看的一头雾水,不过对历史,对政治还是比较感兴趣,不过看楼主也就一90后,所以沟通上会有一定代沟。
※ ※ ※ 本文纯属【江上钓雪】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-29 21:13
wdxboy
注册用户
积分 120
发帖 126
注册 2009-4-30
来自 微点家庭版
#4
这些杀软真的像你这样说的不堪一击吗?
※ ※ ※ 本文纯属【wdxboy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-30 00:11
cp0577
禁止访问
积分 1151
发帖 1149
注册 2008-6-21
来自 浙江温州
#5
个人感觉还是微点第一
※ ※ ※ 本文纯属【cp0577】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-30 00:34
qq200878
中级用户
积分 456
发帖 452
注册 2007-11-17
#6
RkU的Force Kill能杀微点?那是581.108以前的事了.而且楼主用RKU扫EAT,默认微点是会报的,你只有把RKU加入可信才能操作,但这样以来测试还有意义吗?所以LZ的方法其实没有意义,因为没有人会看到报警了还放行的
[
Last edited by qq200878 on 2009-6-30 at 07:42
]
※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-30 07:33
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
#7
新版微点已加强了自我保护 APC代码注入Ring3强杀微点不能 shineast主动防御软件结束不能 EQ结束不能 干掉微点等××\HLJLEO.SYS:Trojan name:Backdoor.Win32.HacDef.xu
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-6-30 18:49
mina221
注册用户
积分 77
发帖 77
注册 2009-5-21
#8
所有的软件 都是不断更新完善的···一时干掉不等于永远都能干掉
{···魔高一尺道高一丈··}
杀杀防防 防防杀杀
※ ※ ※ 本文纯属【mina221】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-30 19:14
ChiChou
新手上路
积分 10
发帖 10
注册 2009-4-25
#9
“SetParent”,“Win95兼容性”,“.manifest”
不知作者哪儿见到的。
"Win95兼容性"在我发文的数小时内就对360无效了。。。。。
名词用了一大堆,基本是抄别人的东西。。。
作者的装X功夫了得。
※ ※ ※ 本文纯属【ChiChou】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-30 19:36
我不爱小妖精
注册用户
积分 63
发帖 63
注册 2009-6-30
#10
重头到尾看了一遍,一个字,晕……
※ ※ ※ 本文纯属【我不爱小妖精】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-6-30 23:20
34
1/4
1
2
3
4
>
论坛跳转:
微点软件公测区
安全快报
> 病毒快报
> 漏洞快报
微点产品在线技术支持
> 微点主动防御软件
> 预升级反馈专区
> 微点杀毒软件
微点用户交流区
> 微点新闻
> 微点软件使用交流
> 微点茶室
安全技术交流区
> 主动防御
> 反病毒
> 防火墙
综合区
> 电脑&数码
> 体育&娱乐&休闲
> 灌水区
版务管理
内部使用专区
可打印版本
|
推荐
|
订阅
|
收藏
[
联系我们
-
东方微点
]
北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司
闽ICP备05030815号
