呵呵,转一帖过来:
-------------------------------
在说瑞星差之前,为什么自己的 360 做好....
360 保险箱也只能对付一般的木马. 什么独辟安全运行空间,百毒不侵,简直扯淡.
只不过在内核中INLINE 两个函数而已,把自己宣传的跟虚拟机一样.
瑞星的SDT 怎么了?比360 差吗? 只不过360的行为比较流氓卑鄙而已.
看看360 是怎么挂钩:
lkd> u 80541855
nt!KiFastCallEntry+0xe5:
80541855 e9f2acbb71 jmp f20fc54c
8054185a 8bfc mov edi,esp
8054185c 3b3514215680 cmp esi,dword ptr [nt!MmUserProbeAddress (80562114)]
还欺骗用户说 "内核级编程技术,简洁高效" ? INLINE 了 KiFastCallEntry 函数,怎么个高效法?
能监视进线程的打开和创建,而又不被检测出 SSDT HOOK 和 INLINE HOOK ,那是因为它在
KiFastCallEntry 里对索引值进行过滤....,不要把这种卑鄙的手法当技术来炫耀......
"增强型自我保护,坚不可摧" ? 真的坚不可摧吗?
暂且不说怎么去它保护,除了任务管理器,随便冰刃什么之类的不能结束它吗?
lkd> d f2103128
f2103128 25 00 00 00 d2 8e 57 80-d2 8e 57 80 01 00 00 00 %.....W...W.....
f2103138 00 00 00 00 5a 77 43 72-65 61 74 65 46 69 6c 65 ....ZwCreateFile
f2103148 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
f2103158 00 00 00 00 b7 00 00 00-8e c2 57 80 8e c2 57 80 ..........W...W.
f2103168 01 00 00 00 00 00 00 00-5a 77 52 65 61 64 46 69 ........ZwReadFi
f2103178 6c 65 00 00 00 00 00 00-00 00 00 00 00 00 00 00 le..............
把函数的保护位置零,用任务管理器也能结束360 保险箱保护程序包括360 保险箱.
把保险箱 INLIEN 的两处恢复掉,就什么保护都没了,而360 保险箱却显示正在保护 XXXX
INLINE 被恢复后都没检测一下就煞有介事的告诉用户正在保护,真无语了.....
"专门对键盘驱动、窗体挂钩、只读内存等木马常用的偷窃手段进行有效防护....." ?
木马只要有权限加载驱动,360 保险箱根本防不住...
Detach 键盘驱动也只是某些键盘过滤而已,更偏底层的照样记录..
免费的软件我们是不应该指责什么,但是欺骗我们这些普通用户那就太不对了.
如果把那些做虚假广告和厂商之间相互攻击的功夫,多多拿去研究些有用上的技术,自然会有广大
用户为你宣传.
声明:
我并不是瑞星的,只是看不贯那些相互攻击而已.
------------------------------- |