【已实现】利用Eset HIPS防止各家安全软件抢地盘坑害用户

witty606

hx1997 发表于 2014-8-30 20:33
看了你 1L 更新的内容，想问相对路径是什么？可以用环境变量的，%ProgramFiles% 这些。还有注册表的话可 ...

谢谢，相对路径就是环境变量的意思。我是在win7 x64下做的，可以用%windir%,但是%userprofile%这些好像无效，我有空继续验证。今天完成了360，金山，百度三款软件的卫士加杀毒添加。
这个东西做了3天了，反复安装测试，实现的还算满意。明天再加个瑞星，接下来就是处理下桌面和开始菜单的残留就完成了。
另外，请教你64位下的wow64重定向是什么，第一次接触，方便的话讲解下，举个例子就更好了！

hx1997

witty606 发表于 2014-8-30 22:46
谢谢，相对路径就是环境变量的意思。我是在win7 x64下做的，可以用%windir%,但是%userprofile%这些好像无 ...

%USERPROFILE% 的问题我之前发现过，见此帖：http://bbs.kafan.cn/thread-1257058-1-1.html

64 位 Windows 有一个机制叫 WOW64 (Windows on Windows 64-bit)，用于兼容 32 位程序。

简单来说，32 位程序访问某些文件和注册表时，会看到和 64 位程序不一样的东西，这叫重定向。比如 64 位程序访问 C:\Program Files，而 32 位程序若尝试访问这个目录，会自动被系统重定向到 C:\Program Files (x86)。同样，注册表也有类似的机制，例如 64 位程序会访问 HKLM\Software\360Safe，而 32 位程序尝试访问这个路径时，会被重定向到 HKLM\Software\Wow6432Node\360Safe。因此要做到完全防御，必须同时处理 32 位和 64 位程序的路径。

受到 WOW64 影响的路径列表可以参见（英文）：http://csi-windows.com/blog/all/ ... ow64-windows-64-bit

witty606

hx1997 发表于 2014-8-31 18:16
%USERPROFILE% 的问题我之前发现过，见此帖：http://bbs.kafan.cn/thread-1257058-1-1.html

64 位 W ...

谢谢，刚看到。今天的测试我也发现这些问题了，百度过看明白了。那意思是规则中同时加入32位和64位相关设置，那就可以在32位和64位系统中通用了吧！我的理解是这样的，对吗？
发现个新的问题，是360的。我禁止了各处加载，360也没有运行，但是当我手动删除360安装目录时，提示被占用，无法删除。360杀毒被占用的是360sd目录下的ShellIco.dll文件。360安全卫士下面是无法删除safemon下的360UDiskGuard64.dll文件。我找不到这两个文件怎么被加载到内存里的，不知在哪里防止加载？
应该是加载到了别的程序里，我想应该可以限制注册表里某个位置，防止它们启动加载，就是不知道在哪里。
你有空帮忙看下不？如果可以，我发你规则，帮我看下。

hx1997

witty606 发表于 2014-8-31 19:03
谢谢，刚看到。今天的测试我也发现这些问题了，百度过看明白了。那意思是规则中同时加入32位和64位相关 ...

应该是注册成外壳扩展，加载进 explorer.exe 里了，这样右键菜单才有 360 的选项。

下载这个：http://live.sysinternals.com/autoruns.exe

运行后等它加载完，在里边搜索 ShellIco.dll 和 360UDiskGuard64.dll，就可以找到它们在注册表里的位置。

hx1997

witty606 发表于 2014-8-31 19:03
谢谢，刚看到。今天的测试我也发现这些问题了，百度过看明白了。那意思是规则中同时加入32位和64位相关 ...

关于处理 WOW64，也可以理解成为了通用于 32 位和 64 位系统吧。但重要的是不处理的话在 64 位系统下防御是不完全的。

witty606

hx1997 发表于 2014-8-31 19:23
应该是注册成外壳扩展，加载进 explorer.exe 里了，这样右键菜单才有 360 的选项。

下载这个：http:// ...

早就在用autoruns了，要不然我怎么查信息啊。还是谢谢了！呵呵……
右键问题都解决了，其它百度，金山，瑞星都搞定了，可直接删掉安装目录。就这360有残留。
哦，autoruns中查不到，我是没发现。所以找不到加载点。
还有，刚下了工具，分析占用。杀毒里的那个只是加载到explorer.exe里。
安全卫士就利带了，system进程中都有，explorer里也有，system idle里也有。还有我的查看工具里也有……
用autoruns看不出来在哪加载的。应该就是那几个bho,但是信息不完善，我用autoruns禁用了，还是加载了。我试试删掉看看

hx1997

witty606 发表于 2014-8-31 19:37
早就在用autoruns了，要不然我怎么查信息啊。还是谢谢了！呵呵……
右键问题都解决了，其它百度，金山 ...

我去下载个 360 看看。

witty606

hx1997 发表于 2014-8-31 19:42
我去下载个 360 看看。

shit! 用autoruns删掉了相关bho,重启，还是加载了，再用autoruns看，删掉的键值没有了。根本没有任何加载的痕迹。360真黑！
准备用hijackthis扫下，多年未用了，刚下载了一扫，也没发现。安全模式中看看，你有进展了吗？

witty606

hijackthis在安全模式下扫了下，也没有任何收获……头都大了！

hx1997

witty606 发表于 2014-8-31 19:48
shit! 用autoruns删掉了相关bho,重启，还是加载了，再用autoruns看，删掉的键值没有了。根本没有任何加 ...

在我这不知道为什么 360UDiskGuard64.dll 没加载到任何进程里，U 盘防护是打开的，也设置了显示 U 盘助手。

看了几个其他加载的 360 模块，也没发现自启动项，可能 360 是自己做的注入。

只能建议你删除以下注册表项并用 HIPS 拦截对它们的写入试试，或者从文件入手，别无他法：

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CC00F81D-5262-450A-B1FA-D6BEE3406263}\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\360UDiskGuard Icon Overlay\*