国内杀软自我保护大PK之（一）-----进程篇

aa11qq26

原帖由 爱·妖姬 于 2008-1-6 15:43 发表
其实都不怎么样

你打击别人的劳动成果哦
个人感觉还不错
楼主想说的的应该是不能结束才是完美的，但感觉是盾和矛的论断了

taiw_1144

原帖由 爱·妖姬 于 2008-1-6 15:43 发表
其实都不怎么样

大家都想裸奔，但裸奔的结果是，几个月后极有可能会一大堆的病毒！！！
今天出去打印（外面控制打印机的电脑所用杀软大家都知道，十有八九用国产某某），U盘上几个word、pdf文章都被病毒感染了。这些没办法用winrar看到的。微点在安全性和系统资源间找到一个平衡点吧。。。

豫孤鸟

学习中！

爱·妖姬

打印的一般先放邮箱,再从邮箱下,不要插U 盘,中的太厉害的我一般都掉头走人


其实被狙剑结束都是很正常的

[ 本帖最后由 爱·妖姬 于 2008-1-7 11:13 编辑 ]

SONGBOWEN

本文转自点饭论坛（http://www.mpfans.org），转载请注明出处！

4、金山毒霸2008
PS：本测试不涉及防火墙部分，因此，忽略金山网镖的进程。
(1)首先当然还是任务管理器，如图：




截图 2008-1-7 9.33.19.png (16.87 KB)
2008-1-7 11:14
无法结束，因此，就不用测试修改的任务管理器了。
(2)命令行界面的taskkill对金山依然无效，见图





截图 2008-1-7 9.34.39.png (9.88 KB)
2008-1-7 11:14
(3)ntsd，对费尔貌似很有效啊，看看对金山如何吧





截图 2008-1-7 9.36.11.png (16.46 KB)
2008-1-7 11:14
很好，金山成功的防御住了ntsd！
(4)冰刃出马，金山卧倒。。。
上改版冰刃，金山再次被杀。。。。




截图 2008-1-7 9.44.42.png (30.26 KB)
2008-1-7 11:14
PS：不愧为冰刃，众多杀软纷纷倒下！
(5)再上狙剑，看效果如何！




截图 2008-1-7 9.48.28.png (35.37 KB)
2008-1-7 11:14
呵呵，金山很遗憾的被再次结束了。。。
(6)Wsyscheck，也是非常出色的进程管理工具





截图 2008-1-7 9.52.44.png (33.08 KB)
2008-1-7 11:14
金山的进程又死了。。。。
(7)最后，试试net stop停止服务吧。。。





截图 2008-1-7 9.55.38.png (8.64 KB)
2008-1-7 11:14
呵呵，没有问题，服务不支持“停止”操作！
PS：延伸测试——停止防火墙的服务





截图 2008-1-7 9.57.12.png (8.73 KB)
2008-1-7 11:14
很遗憾啊，防火墙的服务被轻易的停止了。。。
5、江民杀毒软件2008
这个东西自称可以不被冰刃结束，我们来看看他的自我保护如何吧！
(1)任务管理器




截图 2008-1-7 10.09.35.png (17.16 KB)
2008-1-7 11:14




截图 2008-1-7 10.10.12.png (16.88 KB)
2008-1-7 11:14
两个进程的提示都是不一样的……
呵呵，有点意思哦～
修改任务管理器的测试就不必了，因为他肯定是不信任原版的任务管理器的
(2)taskkill，其实已经猜到了，肯定不会被结束的，我们来看看吧





截图 2008-1-7 10.12.29.png (10.11 KB)
2008-1-7 11:14
依然是两个不同的提示，进程完好无损！
(3)ntsd
第一个，提示“参数不正确”





截图 2008-1-7 10.14.13.png (15.94 KB)
2008-1-7 11:14
第二个，没有任何提示，卡在这里很长时间





截图 2008-1-7 10.15.45.png (13.17 KB)
2008-1-7 11:14
然后，一闪就没了，我还以为被结束了，赶紧看进程列表，发现他的进程依然还在，PID也没有改变，说明没有被结束！
(4)宣称不会被冰刃结束的江民2008，表现如何呢？
启动冰刃的时候，江民先弹出了一个提示：




截图 2008-1-7 10.20.49.png (20.9 KB)
2008-1-7 11:14
当然要允许了，冰刃是靠驱动吃饭的，禁止了这个，冰刃还怎么启动。。。。
启动冰刃以后，结束江民的两个进程，果然没有任何反应，江民没有被冰刃结束！
另外，我也尝试了加壳的冰刃，同样没能结束江民的进程！
(5)狙剑
既然冰刃失手了，看看狙剑的表现如何吧！





截图 2008-1-7 10.37.36.png (29.35 KB)
2008-1-7 11:14
很遗憾，狙剑也没能结束江民2008的进程，看来，江民的进程自我保护绝对名非虚传啊！
另外，我在Shadow检查中，发现了一点小秘密。。。





截图 2008-1-7 10.42.35.png (22.98 KB)
2008-1-7 11:14
呵呵，SysGuard.sys是江民的驱动～
PS：狙剑还被我搞出了下边这个提示：





截图 2008-1-7 10.49.33.png (33.04 KB)
2008-1-7 11:14
(6)Wsyscheck，同样没能结束江民2008的进程。。。。
(7)net stop测试






延伸测试——我是如何毁掉江民2008的！

江民的进程保护非常完美，似乎有些无从下手。。。

但是，他却忽略了注册表的保护。。。。

打开注册表编辑器，定位到HKCU\.kxp，直接删掉这个主键，接下来重启Windows系统，江民就不启动了……



另外，删掉HKCR\CLSID\{B4E47324-E656-4E8F-83C0-2B6E9D26F81F}，桌面上的图标就。。。

所以说，江民的自我保护，看似强大，实际上，不堪一击！！！

好了，本次测试就到此为止了，感谢大家非常有耐心的读完此文章！

SONGBOWEN

呵呵，后边的我来转了！！！

呵呵
好快啊
速度.........

runsisi

江民竟然能过wsyscheck  不错  希望wangsea有新的突破   呵呵

爱·妖姬

用狙剑不一定要结束进程的,狙剑每一个功能用的技术都是不同的!狙剑的注册表编辑器比系统的注册表编辑器强多了!如果江民加了注册表保护,可以考虑直接用驱动级别的注册表编辑器

建议小宋直接用狙剑铲江民的驱动,看看结果如何 作个估计：非死即蓝

SONGBOWEN

原帖由 爱·妖姬 于 2008-1-7 11:46 发表
建议小宋直接用狙剑铲江民的驱动,看看结果如何 作个估计：非死即蓝

试过了。。。

无效，既不死机，也不蓝屏，江民的进程依然无法结束。。。。

说实话，江民的进程自我保护是非常出色的，但是注册表方面