防止SSDT恢复过卡巴主动防卸!

xqiafl

现在, 众所周知, 想要过卡巴主动.

只有两种可行的方法!

第一: 改时间.  这个,我已经发过解决办法了.

第二: 恢复SSDT .  通过,写驱动级程序,  恢复SSDT中,卡巴所修改的一些我看不懂的东西来达到效果!!

我昨天,晚上,做了下测试, 用ICEWROD 这个, 把卡巴的注册表监控, 所对应的"服务函数名称"

把那个恢复后, 卡巴的注册表监控就形同虚设了.   当时, 心理一凉!!

   当时,的感觉,就是慌了神!

不过,  过了一个晚上, 我已想到对策了!

通过SSDT恢复 来达到过卡巴主动防卸的方法, 估计也只能在卡6里面用了.

我装的是卡7  , 它本身就拦截了!

测试一:

  第一: 我装的是卡巴KIS7.0  .  当一个合法程序运行后, 想要去恢复SSDT.

那么, 它必然是驱动级程序, 只要是驱动级程序就要往DRIVERS目录中写入SYS文件!

就在这时, 卡巴主动,就会报警了: 一个程序似途获取系统权限. 之类的!

只要阻止就行了.  一般, 我估计, 黑客要想过卡7 . 那么, 必需要先恢复SSDT.

而恢复SSDT 这个程序,就一定不能带病毒特性. 否则,绝对会报警.

不带病毒特性的恢复SSDT工具, 自动运行后, 就会释放SYS文件到DRIVERS 目录,来获取权限.

此时, 卡巴就会拦截.   点阻止,  就可以拦掉黑客,所谓的通过SSDT 恢复, 来过卡巴主动防卸的

还有一个方法,也可以阻止这个SSDT恢复过卡巴主动防卸!

那就是,"权限"

设置: c:\windows\syste,32\drivers
这个目录中. 把"写入"权限去掉,  这样就OK了!  当然,最好, 把SYSTEM32 这个目录的权限也设置下子.

administrator  system  这两个用户的写权限,都要去掉!

那种想要获取系统权限的软件, 绝对会往c:\windows\system32\drivers

这个目录中写SYS文件. 所以, 限制这个目录写, 就可以了!

以上,封杀灵感,来源于:  ICESWORD  , 这个程序运行后,会向DRIVERS目录中写入SYS文件!

[ 本帖最后由 xqiafl 于 2007-9-30 16:36 编辑 ]

笑笑生

技术帖，一定要支持

wangjay1980

建立驱动卡巴会监控的

flo

启动IceSword的时候，当IceSword尝试加载驱动的时候卡巴就会警报Suspicious Driver Loading。
一旦恶意代码跑到内核态，基本就没什么办法了。
还有就是卡巴不是靠目录名称来判断是否是驱动的，不管是加载驱动还是其他的访问内核的非常规方法，卡巴都会拦截。

[ 本帖最后由 flo 于 2007-9-30 18:18 编辑 ]

xqiafl

启动IceSword的时候，当IceSword尝试加载驱动的时候卡巴就会警报Suspicious Driver Loading。
一旦恶意代码跑到内核态，基本就没什么办法了。
还有就是卡巴不是靠目录名称来判断是否是驱动的，不管是加载驱动还是其他的访问内核的非常规方法，卡巴都会拦截。

完全同意. 看样子,是我多心了啊!    以前,用ICESWORD 时,没太注意, 就只这两天,才注意到!

we230

我是路过的莱鸟,对卡吧不太了解,不做评介了.

2aaaaaa

在想,如果木马已经进入加载到启动驱动程序里的话,卡巴还能否查出来?
比如加载到了svchost.exe

xqiafl

在想,如果木马已经进入加载到启动驱动程序里的话,卡巴还能否查出来?
比如加载到了svchost.exe

你这是进程注入！ 假设是驱动级的后门， 还是可以查出DLL文件的。

用ICESWORD 就可以查的出来，一般的木马DLL文件，一眼就可以看出来！

whywhyabcd

对于这问题HIPS比杀毒软件做的专业

yu88480

用好程序完整性控制的话，上面的都没有什么戏滴。