收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 McAfee 推荐安全工具Wsyscheck
12下一页
返回列表 发新帖
查看: 4789|回复: 18
收起左侧

[资讯] 推荐安全工具Wsyscheck

[复制链接]
ouran
发表于 2007-10-15 18:58:13 | 显示全部楼层 |阅读模式
冰刃在阻止创建.sys的情况下,是无法运行的,但是运行Wsyscheck,由于咖啡禁止了创建驱动文件.sys,提示如下:

2007-10-15 18:30:55 已由访问保护规则禁止  
D:\antivirus tools\Wsyscheck0712\Wsyscheck.exe C:\Documents and Settings\.........\Local Settings\Temp\KpCheck.sys
用户定义的规则:FD5-阻断驱动级威胁(.sys) 已阻止的操作: 创建
如下图14



尽管阻断了.sys的创建,但Wsyscheck.exe 还是照样启动,
执行结束进程,mcafee立即被关闭,没有留下日志文件(这时候咖啡的访问保护和自身保护是开启的)
如下图15


真想选个结束并删除文件,哎,想了想算了
大家看看是不是这样
补充一下:
1.该工具十分强大,尤其是其dos删除功能相当厉害,禁止进程与文件创建,防止木马反复重写,(冰刃只有禁止进线程创建,不能阻止文件创建),其校验功能用不同颜色显示伪微软文件,感觉在冰刃之上,强烈推荐
2.看来内核工具不加载sys也可以实现其目的,不过效果上可能有限制
3.结束咖啡的自动更新进程UpdataUl.exe的时候(其它的进程都在),咖啡没有日志出现,可以断定,咖啡的监控被绕过了

[ 本帖最后由 ouran 于 2007-10-15 21:39 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +5 收起 理由
小邪邪 + 5 感谢分享

查看全部评分

回复

举报

gdlgz
发表于 2007-10-15 19:58:00 | 显示全部楼层
你是否选择了允许加载Wsyschec进程,要不是不能结束咖啡的
回复

举报

ouran
 楼主| 发表于 2007-10-15 20:13:21 | 显示全部楼层
原帖由 gdlgz 于 2007-10-15 19:58 发表
你是否选择了允许加载Wsyschec进程,要不是不能结束咖啡的


你说的 是禁止Wsyschec.exe运行吗?
因为要运行它,所以没有写诸如禁止explorer.exe访问Wsyschec.exe的规则
启动时候,由于咖啡的访问保护阻止,出现加载驱动出错的提示,但它照样启动运行了.并可以结束咖啡进程
刚在另外一台机器上试验了一下kv2008
kv2008的进程是用冰刃无法结束的(即使加载了驱动),甚至开启冰刃"禁止进程和线程创建),也无法结束kv2008的进程
不过,用Wsyschec.exe结束kv进程的时候,机器会黑屏直接重新启动

ps:这个工具太强大了,貌似超过冰刃,尤其是dos删除功能,确实是对付顽固恶意软件的好工具,推荐一下!
回复

举报

aribeth199
发表于 2007-10-15 20:17:34 | 显示全部楼层
不需要用EXPLORE禁止访问WSYSCHEC,用版主的超强规则试试,无法运行。
回复

举报

ouran
 楼主| 发表于 2007-10-15 20:20:04 | 显示全部楼层
原帖由 aribeth199 于 2007-10-15 20:17 发表
不需要用EXPLORE禁止访问WSYSCHEC,用版主的超强规则试试,无法运行。


是不让运行除c盘windows  和Program Files以外的可执行文件?是不是大体这个意思?

[ 本帖最后由 ouran 于 2007-10-15 20:30 编辑 ]
回复

举报

ouran
 楼主| 发表于 2007-10-15 20:45:27 | 显示全部楼层
如果是这个意思
我要试一下WSYSCHEC不加载驱动的情况下的威力,你不让运行,怎么试?那和鼠标不打开该程序没有区别啊
搞笑!
回复

举报

huaxiang954
发表于 2007-10-15 20:50:33 | 显示全部楼层

黑客可能帮你装载这软件来干掉你的咖啡。
病毒能附带这个工具来干掉你的咖啡吗?
何必大惊小怪!!!
任何软件不是万能的。毕竟人是活的。
讨论这样的问题没有意义。因为只要黑客和病毒无法干掉你的咖啡就行了。其他的你怕什么?
回复

举报

ouran
 楼主| 发表于 2007-10-15 21:01:24 | 显示全部楼层
原帖由 huaxiang954 于 2007-10-15 20:50 发表

黑客可能帮你装载这软件来干掉你的咖啡。
病毒能附带这个工具来干掉你的咖啡吗?
何必大惊小怪!!!
任何软件不是万能的。毕竟人是活的。
讨论这样的问题没有意义。因为只要黑客和病毒无法干掉 ...


不是这个意思,误解了,我把题目改一下吧
先前有人说驱动级工具不加载sys驱动的情况下是无法结束咖啡进程的.(例如冰刃就这样)
所以无意中做了个实验,发现这个即使不加载驱动也可以结束
一是为此工具威力折服,二是验证下大家伙的也是不是也这样

当然,如果这个作者用该方法写病毒,应该是能够结束咖啡的进程,当然这是题外话,说不定已经有这样的病毒.

[ 本帖最后由 ouran 于 2007-10-15 21:06 编辑 ]
回复

举报

remind_me
发表于 2007-10-15 21:04:21 | 显示全部楼层
原帖由 ouran 于 2007-10-15 18:58 发表
真想选个结束并删除文件


我支持你~~~  
回复

举报

remind_me
发表于 2007-10-15 21:10:42 | 显示全部楼层
原帖由 ouran 于 2007-10-15 21:01 发表


不是这个意思,误解了,我把题目改一下吧
先前有人说驱动级工具不加载sys驱动的情况下是无法结束咖啡进程的.(例如冰刃就这样)
所以无意中做了个实验,发现这个即使不加载驱动也可以结束
一是为此工具威力折服,二 ...

而且我发现经过这么一折腾,任务管理器也可以轻易干掉 mcshield.exe ,不知道taskkill 能不能干掉它。。。要不,试试ntsd……  
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 08:27 , Processed in 0.133181 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表