查看: 2654|回复: 15
收起左侧

[瑞星] 关于瑞星系统内核加固中"关闭电脑"规则的探讨(截至4-15仍未修复))

[复制链接]
星空下的吻
发表于 2011-4-7 16:57:40 | 显示全部楼层 |阅读模式
本帖最后由 星空下的吻 于 2011-4-15 13:09 编辑

  这个讨论是基于http://bbs.kafan.cn/thread-950325-1-1.html进行的,不定期的测试反馈一些瑞星主防的漏洞.
    今天测试昨天的卡饭样本20号,发现绝大多数的动作都能够拦截,仅仅漏掉了病毒试图重新启动这一动作,因为原帖没有定制关闭电脑的规则,于是马上加上后再次尝试,仍然以失败告终.分析行为后发现病毒调用系统文件shutdown来完成重新启动的动作,这就让我怀疑,系统加固的关闭电脑只能防御类似调用系统API ExitWindowsEx这样的函数来关闭电脑的行为,而无法阻止调用shutdown来重新启动.经过测试的确如此,自动关机的小软件就可以成功防御.这应该是系统加固的一个缺陷.
  可以尝试的解决办法:
(1)在探测调用shutdown程序时,可以查看调用的参数,正常的关机重启操作是不会限定时间的,除了系统关键进程崩溃;

(2)检查调用shutdown程序的父进程是否为系统进程或可信进程.

希望能够引起官方人员的重视!!

附上样本:



可成功拦截关机的软件:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
02223289680
发表于 2011-4-7 18:18:59 | 显示全部楼层
人才啊
expensive6688
发表于 2011-4-7 18:39:20 | 显示全部楼层
这个应该防御,楼主的建议很好啊
李不知
发表于 2011-4-7 18:52:48 | 显示全部楼层
以帮你去卡卡联系官人前来!
jone_jys
头像被屏蔽
发表于 2011-4-7 22:21:15 | 显示全部楼层
很好很强大,支持楼主。。。
5230
发表于 2011-4-7 22:37:37 | 显示全部楼层
cmd不容易防御吧,只能用系统加固设置提示
麦青儿
发表于 2011-4-8 09:47:03 | 显示全部楼层
回复 1楼 星空下的吻 的帖子

此问题已反馈到瑞星相关部门,感谢lz对瑞星产品的支持。
-oAo-
发表于 2011-4-8 10:16:20 | 显示全部楼层
楼主可以做黑客了哟
放点青菜
发表于 2011-4-8 10:35:17 | 显示全部楼层
楼主果然有见地,很犀牛哥的说哦,反应给有关部门,以便加强改进!
半桶水
发表于 2011-4-8 10:38:04 | 显示全部楼层
一般我选择瑞星的默认,基本上没什么问题
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-29 22:54 , Processed in 0.135603 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表