我的理解,杀毒软件自我保护的问题！

liangfangCN

呵呵 今天来逛逛,没想到那么多人讨论杀毒软件自我保护的问题
   
     3x3eyes 发了个帖子。 关于金山2011的自我保护的问题, 还用我弄的那个VB小程序kill 了金山 0.0 看到了 就顺便说说吧.

   错误理解1：3x3eyes: Say "这种句式本身就是无视常识的搞笑语言，谁都知道现在世界上自保护最强的是360安全卫士，什么时候轮到金山毒霸了？"


    360安全卫士自我保护你说相对较强还可以理解...不知你是怎么如何评价杀毒软件的自我保护的
   
‘//////////////

   错误理解2： You say" 用驱动本身就是没有任何方法可以拦截的，所以控制住驱动入口就可以了，例如主动防御和驱动防火墙。 "
   如果你是说靠 拦截驱动加载 就来判定一个杀毒软件的自我保护强弱,那不是几乎所有的杀毒软件自我保护都是世界最强了？
例如 瑞星 也有驱动拦截 ,江民也是, 不单单只有360有吧？

   病毒关闭杀毒软件什么原理？
  1.ring3 kill   2. ring0kill
Ring3下 一般只能用一些怪招,可以说是杀毒软件忽略了某些细节 没有防御的地方才能干掉
Ring3下 不用加载驱动 所以杀毒软件不提示

2.Ring0  要进Ring0 大部分都是靠驱动 SYS 来实现的 要执行的命令函数也写在 sys文件里 然后通过调用执行
  写驱动文件来关闭杀毒软件进程 是非常简单的 因为可以调用那些比较底层的函数 绕过杀毒软件的钩子方法也很多
所以说 进了Ring0 来结束杀毒软件进程 没意思
   进ring0 加载驱动后 才能执行驱动文件里的代码 所以加载驱动这个动作 大部分安全软件会提示,就类似于 你运行冰刃之类的工具时 360会提示某某程序加载驱动  瑞星 提示 正在执行危险动作 等等

   为什么有些病毒运行加载驱动后安全软件拦截不到呢？
安全软件 能拦截驱动加载 是因为 HOOK 了NtLoadDriver 之类的钩子
但有些病毒可以绕过它 直接加载驱动
比如利用系统漏洞
或者无驱动进ring0等



   所以说,自我保护没有最强,在强也是可以结束的（当然是用驱动结束..）
如果3x3eyes还认为360世界最强,任何工具都很难结束的话..我可以马上弄一个可以挂掉360进程 而不能结束江民的东东来

特种部队

............................................

以后别这样了，这样属于纯表，谢谢。     ——  中国崛起

yujiakun

楼主发个不用360卫士放驱，但能K掉360卫士的东东吧，这样帖子精彩些

国内这个行业从来就是这样浮躁，攻击来攻击去的，不像干安全行业的，倒像是唱戏的

8684hongchen

目前暂时看来，中国大陆最安分守己的就是费尔了。

胡言乱语

一个免费的东西，有什么可炫耀的！
又不是自己的自主产权~！
用外国的引擎回来叫嚣！
再说杀毒和防御套句话（别看疗效，看广告）！
360真够可以的了！

白羊座

回复 6# 胡言乱语


    果然胡言乱语，360卫士不是自己的？

白羊座

进R0方法很多加驱方法很多，一个钩子就能解决问题的话，杀毒软件会那么容易倒下？
顺便说一句，即使利用系统漏洞，或者别的方式加载驱动，也未必能够通过360的驱动防火墙

胡言乱语

回复 7# 白羊座


    你真山炮，我说杀毒呢

gxczlzz

我只是路过的