看我干掉卡巴灭了微点1.2 众杀软自我防护能力检测总结

mappletree

【原创】收拾瑞星2009

        打开冰刃，发现它的自我保护就是在SSDT上挂钩用来打开、结束、挂起进程和线程的Native API，还挂了"NtAssignProcessToJobObject"，想利用作业对象大法间接调用PspTerminateProcess结束进程的想法落空了，但是没有在意是否有挂钩"NtDuplicateObject"。不过我听别人说，很多时候杀软挂钩了"NtDuplicateObject"也是白搭。
        看到这里，我拿出一个在驱动里调用"NtOpenProcess"和"NtTerminateProcess"的程序，秒杀了瑞星的进程，因为在驱动中调用这两个函数不会经过SSDT。但是在加载驱动时，瑞星的主动防御会有提示。
         可惜，瑞星2009的驱动防御并非滴水不漏。在2009年5月的《黑客防线》中就提到了一个绕过瑞星2009驱动监控加载驱动的办法。瑞星会在毫无声息中死去了（我没有测试，只是看那个作者那么说）。
        其实，杀死瑞星还有许多投机取巧的办法，这里就不说了，免得挨整。
        我再次提醒各大杀毒软件厂商，请不要在SSDT上挂钩函数来保护自己，没有什么鸟用的。马克思告诉我，看问题要看本质。从本质上说，进程终结的本质是进程的线程被全部终结，线程终结的本质是被插入了APC。所以，挂钩KiInsertQueueApc是最好的选择。当然，DKOM也可以。其它的手段，比如擦掉自己在Csrss中的句柄，挂钩ObpCreateHandle，没有漏洞的驱动防火墙，也是必须的。

【原创】再次恶整瑞星

       在我收拾过的杀毒软件里，瑞星2009的主动防御还是比较出色的。虽然杀死瑞星的进程很简单，但是都会触发瑞星的主动防御。这让我十分不爽，于是我决定在不触发瑞星主动防御的前提下，再整治瑞星一次。

       首先我把我从VBGOOD上学来的RING3杀进程六大恶心方法全部尝试了一次，结果如下：
关联作业对象：失败
调试活动进程：失败
内存填中断：失败
卸载NTDLL：失败
建立远程线程：失败
向所有线程发送退出消息：失败

       呵呵，不失败就奇怪了，因为瑞星早就在SSDT上把相应的原生API给挂钩了。想用“EXE注入”的方法启动一个瑞星信任傀儡进程来加载驱动，又失败了。

       莫非真的没有办法了？我想起“民间数学家”还教过我一个SetParent的方法干掉窗体，赶紧拿出来尝试，托盘图标消失了！重新启动窗体后，用WndSpy来查看窗体，竟然能够得到窗体的句柄，尝试发送WM_CLOSE，成功！事后拿出陈辉的工具查看SSDT Shadow，发现瑞星的驱动没有挂钩SSDT Shadow表上相应的函数。看来，瑞星的保护不太到家啊！

       其实瑞星防杀只是停留在Ring 3下的，一旦病毒进了Ring 0，就是在驱动中用最简单的NtOpenProcess + NtTerminateProcess都可以杀死，因为在驱动中调用NT系列函数是不经过SSDT的。


【原创】恶整“360安全卫士”

且不说随便用PspTerminateProcess就能要了360的狗命，其实要阻止它启动，也是极其容易的：搞个“win95 兼容性设置”就可以了。--微点已解决此问题

【原创】搞残KV2009   

        早就听说KV2009很难杀，于是特地下载了一个来测试。     打开冰刃，察看SSDT，发现没有红色！又打开RkU，发现了几个钩子，但是没有显示出函数名。后来听高人说，KV2009挂钩了几个很底层的函数，分别是：ObOpenObjectByPointer、ObpCreateHandle、PspTerminateProcess、KiInsertQueueApc。我一听，晕倒了。我处决进程的手段都被防了。
        但是我还是想到一个办法，可以用干掉KV2009的托盘图标。打开记事本，输入下列代码，并保存为kkv.bat。
assoc .kxp=kxpf
ftype kxpf=smss.exe
        重新启动后，KV2009的托盘图标就消失了。而且，KV2009的主动防御功能貌似也失效了。
        炉子[0GiNr]还有另外一种办法：先用NtDuplicateObject复制了江民监控进程的句柄，用内存清零的办法杀死江民监控进程。大约20秒后，江民2009的红色托盘图标就消失了。但是，炉子[0GiNr]的方法会在20秒内使电脑无响应，有头脑的人都知道自己中招了。
        如果你是个超级猛人，可以直接恢复江民的KiInsertQueueApc钩子，并在10毫秒内执行（江民会每隔10毫秒检测钩子是否被恢复，如果是，则又马上钩上）。
       从普通电脑使用者的角度上看，江民是最值得选择的杀毒软件，因为它实在是太难杀了。我向毛主席发誓，我不是在为江民卖广告，这是我的切身体会。这两个小漏洞，只要江民稍微挂一下钩子，就无法使用了。而且江民的主动防御不是在SSDT上拦截的（普通杀软都是在SSDT上拦截可疑操作，只要恢复SSDT，就可以绕过监控），我到现在也不清楚江民是怎样实现主动防御的。
        但是我作为编程爱好者，坚决不用江民杀毒软件，因为如果每次写杀进程的代码时，都发现杀不死江民，岂不是很郁闷？

【原创】四条CMD命令彻底干掉NOD32 3.0

NOD32是我见过的最好欺负的杀毒软件，因为干掉它不仅不用编程，连“映像劫持”这种稍微高级的技术也不用。真是不知道它是怎样进入“世界杀软前十名”的。废话不说直接给出CMD代码。[NOD32的目录是C:\Program Files\ESET\ESET NOD32 Antivirus，测试版本是3.0.669。]

mkdir "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe.manifest"
mkdir "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe.manifest"
tskill ekrn
tskill egui
觉得不保险的话，把最后两句重复100次。下次开机时，NOD32也无法启动了。

唉，我也是用NOD32的，它的自我防护能力这么差劲，还是依靠我写的程序来保护它的安全吧！哪天写好了传上来，用“直接内核对象操作”的方法，把KTHREAD结构有关APC的部位全部改成“拒绝”，除了填零虚拟内存，什么东西都杀不死。

【原创】卡巴斯基2009自我防护测试

        卡巴斯基真不愧是“卡吧死机”，重启后电脑慢如老牛（Pentium 4 2.8GHz、1GB DDR、Windows XP-SP2）。不过电脑的安全性很高，启动我写的SSDT查看工具时，都会触发主动防御（提升权限）。KIS2009依然是在SSDT上保护自身，不过钩了很多函数，连NtDuplicateObject都没放过。看来，作业对象、调试进程、内存填中断等下三滥手段都失效了。后来我想利用傀儡进程的办法绕过主动防御，但还是不行。因为在启动时会触发主动防御。
        先不管这些，掏出PspTerminateProcess，杀死了两个AVP.EXE，谁知，瞬间死机了！再试一次，还是如此。看来，卡巴斯基2009的防护手段很萎缩啊，竟然更改了KPROCESS的BreakOnTermination位置。
        研究陷入了困境，虽然说可以把KPROCESS的BreakOnTermination位置改过来，但是肯定要加载驱动或者使用NtSystemDebugControl，所以放弃了。
        搞进程不行，就搞文件。用CMD在卡巴斯基的文件夹下新建一个“avp.exe.manifest”文件。重启后，卡巴斯基2009不再启动了。随后驱动删除文件，搞定。

【原创】收拾微点1.2
2009-06-25 13:07

        微点是我最后要收拾的一个安全软件，因为我听说它“进化”到和江民一样难以收拾了。

        默认安装完微点，重启后，打开冰刃，查看SSDT，当即晕了：一片黑色！估计危险的函数都被Inline hook了。又打开RkU，查看钩子，发现EAT HOOK了不少函数，其中包括著名的KeInsertQueueApc。看来，我的工具是杀不死的。

        掏出狙剑，谁知根本无法运行（没有任何提示），拿出业界大牛陈辉的ARK天琊，竟然提示是“风险程序”！只好重新拿出RkU。使用“Force Kill + File Wipe”功能，谁知，惊人的一幕又发生了！

       杀完四个进程的三个，RkU竟然被关闭了！而且，再也无法运行了！一旦出现RkU，马上就会被删除。

       最后，只好卸载微点。我实在没有任何办法收拾它了。

       难道我真的没有办法收拾微点？我不信！这不可能！

       我把微点卸载干净后重新安装了一次，再次拿出RkU。

       先恢复了两个Io开头的钩子，又恢复了KeInsertQueueApc。

        然后强杀进程，但是仍然有一个进程杀不死。

        随后，我进入微点的文件夹，把所有EXE改了名，例如：mp3.fuck。

        重新启动后，微点也出不来了。

        要说的是，RkU强杀进程的方法是“虚拟内存地址填零”，在2009年的《黑客防线》上有代码。具体哪期忘了，反正是2月之后6月之前的。另外，我之所以能改文件名，估计就是因为恢复了两个Io开头的函数。这点，微点还是学得不到家。江民注册了DPC，一旦发现自己的钩子被恢复，马上又补钩上！



2009-06-29 12:57
我灭了微点1.2，文章在我的博客上。

我的名字叫胡文亮，1991年出生，广东广州人；
计算机编程、计算机人工智能、计算机病毒和反病毒爱好者；
有机化学爱好者；
历史学、政治学爱好者。
面向问题编程概念推广者；
Hus Angela 编程语言制作者；
MusicBox 音乐播放器（开源）作者；
Algebra System 代数系统（开源）作者；
File Manager 文件管理器（开源）作者；
HS1610 文本加密软件（开源）作者；
HUSLIB 电子图书馆（开源）作者；
《有毒化学物品合成》（未出版）作者；
小说《M先生和外星人》（未出版）作者；
小说《金星列国传》（未完工）作者。
热爱社会主义，服从China Communist Party的领导；
以马克思主义哲学指导我的生活。
接受小型软件定制工作；
拒绝任何计算机病毒、木马、Rootkit的定制工作；
不销售病毒、木马、Rootkit的代码；
不教授病毒、木马、Rootkit的制作；
不接受任何公司、团体、个人的聘请，只愿意为Government工作；
不接受任何公司、团体、个人的聘请是因为我“不差钱”；
只愿意为Government工作是因为“为Government工作就是为国家工作”。
目前正在学习VC、学习驱动开发；
正在测试市面上的主流杀毒软件和安全反黑工具的自我防护能力；
正在开发HooS-SofT Manual Anti-Virus，一款给高手用的手动杀毒软件。

作者 "杀软测试" 分类下的文章：
【原创】消灭金山毒霸2009
【原创】收拾诺顿2009
【原创】收拾BitDefender 2008
http://hi.baidu.com/hovidelphic/ ... 1%C8%ED%B2%E2%CA%D4

[ 本帖最后由 mappletree 于 2009-6-30 14:34 编辑 ]

迷惘依然

我不知道说什么了,佩服啊.不过我认为还是绕过主动防御的方法好,干掉进程,是个人都知道中病毒了,哈哈....

耍花剑的猫

被标题寒进来了，先回帖，再慢慢看！！~~~~

看完了，不知道说什么

[ 本帖最后由 耍花剑的猫 于 2009-6-30 15:10 编辑 ]

苏灿

阅读ing......

928764923

19岁的牛人啊

jiffy

O(∩_∩)O哈哈~

果然江民是最厉害的

红烧大馋豆

楼主的签名让我无语。。。。。。。

evanle

有时候你想关闭运行错误的超强自我保护的软件还真是个麻烦事

myshin

没办法~这么长~~看不完~

zebao

原帖由 darnaydeng 于 2009-6-30 15:42 发表
楼主的签名让我无语。。。。。。。

星宿老仙 天下第一！
武功盖世 法力无边！