关于瑞星系统内核加固中"关闭电脑"规则的探讨(截至4-15仍未修复))

星空下的吻

  这个讨论是基于http://bbs.kafan.cn/thread-950325-1-1.html进行的,不定期的测试反馈一些瑞星主防的漏洞.
    今天测试昨天的卡饭样本20号,发现绝大多数的动作都能够拦截,仅仅漏掉了病毒试图重新启动这一动作,因为原帖没有定制关闭电脑的规则,于是马上加上后再次尝试,仍然以失败告终.分析行为后发现病毒调用系统文件shutdown来完成重新启动的动作,这就让我怀疑,系统加固的关闭电脑只能防御类似调用系统API ExitWindowsEx这样的函数来关闭电脑的行为,而无法阻止调用shutdown来重新启动.经过测试的确如此,自动关机的小软件就可以成功防御.这应该是系统加固的一个缺陷.
  可以尝试的解决办法:
(1)在探测调用shutdown程序时,可以查看调用的参数,正常的关机重启操作是不会限定时间的,除了系统关键进程崩溃;

(2)检查调用shutdown程序的父进程是否为系统进程或可信进程.

希望能够引起官方人员的重视!!

附上样本:



可成功拦截关机的软件:

02223289680

人才啊

expensive6688

这个应该防御，楼主的建议很好啊

李不知

以帮你去卡卡联系官人前来！

jone_jys

很好很强大，支持楼主。。。

5230

cmd不容易防御吧，只能用系统加固设置提示

麦青儿

回复 1楼 星空下的吻 的帖子

此问题已反馈到瑞星相关部门，感谢lz对瑞星产品的支持。

-oAo-

楼主可以做黑客了哟

放点青菜

楼主果然有见地，很犀牛哥的说哦，反应给有关部门，以便加强改进！

半桶水

一般我选择瑞星的默认，基本上没什么问题