国内杀软自我保护大PK之（二）——SSDT-HOOK篇

显示全部楼层 · 发表于 2008-1-7 17:26:38

一、参测软件：

1、东方微点主动防御软件
2、瑞星杀毒软件2008
3、金山毒霸2008
4、江民杀毒软件2008
5、费尔托斯特安全

二、测试方法：

1、用Rootkit Unhooker（以下简称RKU）查看，并尝试恢复所有的SSDT-HOOK
2、尝试对杀毒软件进行映像劫持
3、尝试删除杀毒软件的主程序
4、尝试用常规方法结束杀软的进程（任务管理器或taskkill）
5、如果4成功，则尝试删除杀毒软件的安装目录，失败则尝试用高级手段结束进程

三、测试开始：

1、东方微点主动防御软件

(1)打开RKU，查看SSDT-HOOK情况，如图

截图 (1).png (21.93 KB)
2008-1-7 17:11

直接点UnHook All，恢复所有的SSDT-HOOK，结果如图：

截图 (2).png (9.86 KB)
2008-1-7 17:11

过几秒，刷新一下，结果，又都重新被微点自动HOOK了，如图：

截图 (3).png (21.11 KB)
2008-1-7 17:11

注意对比一下，貌似少了一个Hook，不知道这是为什么……

(2)打开注册表编辑器，对微点进行映像劫持，结果如图：

截图 (4).png (18.73 KB)
2008-1-7 17:11

(3)删除微点主程序（这里删除的是MPStart.exe，也就是微点的快捷方式指向的程序）

截图 (5).png (29.52 KB)
2008-1-7 17:11

(4)使用taskkill，常规结束微点进程，结果如图：

截图 (6).png (8.03 KB)
2008-1-7 17:11

注：这里只所以不是用任务管理器，而用taskkill，是因为微点信任任务管理器程序。

(5)用RKU，切换到Processes（进程）选项卡，如图：

截图 (7).png (21.57 KB)
2008-1-7 17:11

右击微点的MPSvc.exe进程，选择Kill Process，微点没有任何反应，看来无效。

那么，来狠的吧，右击MPSvc.exe，点Force Kill，进程挂掉。。。

用RKU的Force Kill依次结束了MPSvc.exe、MPMon.exe、MPSvc1.exe和MPSvc2.exe这4个进程，微点彻底被杀了。。。

PS：做这个测试的时候，死机2次，蓝屏1次。。。两个内核级软件对拼的结果。。。哎～

2、瑞星杀毒软件2008

(1)打开RKU，查看SSDT-HOOK情况，如图

截图 (8).png (29.3 KB)
2008-1-7 17:11

点UnHook All，恢复所有的SSDT-HOOK，结果如图：

截图 (9).png (10.07 KB)
2008-1-7 17:11

过了一会，刷新，未见恢复。。。

(2)打开注册表编辑器，对瑞星实时监控主程序RAVMON.EXE进行映像劫持，结果如图：

截图 (10).png (12.91 KB)
2008-1-7 17:11

成功的对其进行了映像劫持！

(3)打开瑞星安装目录，删除瑞星主程序Rav.exe，如图：

截图 (11).png (28.22 KB)
2008-1-7 17:11

瑞星弹出下边的提示信息：

截图 (12).png (6.75 KB)
2008-1-7 17:11

删除失败！

截图 (13).png (34.29 KB)
2008-1-7 17:11

(4)用任务管理器结束瑞星的所有进程

截图 (14).png (16.95 KB)
2008-1-7 17:11

结果如图：

截图 (15).png (14.65 KB)
2008-1-7 17:11

所有的进程都被结束了。。。

用鼠标从托盘的绿伞上划过，绿伞也消失了。。。。

截图 (16).png (14.02 KB)
2008-1-7 17:11

(5)删除瑞星的安装目录

截图 (17).png (22.56 KB)
2008-1-7 17:11

结果，就剩下一个DLL了。。。

截图 (18).png (17.05 KB)
2008-1-7 17:11

经查，这个DLL是用于显示文件右键菜单中的“瑞星杀毒”的库文件，
如果Kill掉Explorer.exe，那么，这个文件也可以轻松删除了！

3、金山毒霸2008

(1)打开RKU，查看SSDT-HOOK情况，如图

截图 (19).png (12.11 KB)
2008-1-7 17:11

呵呵，少得可怜啊，就那么几个？让我来全都UnHook了吧！嘻嘻～

(2)打开注册表编辑器，对金山毒霸进行映像劫持，结果如图：

截图 (20).png (12.12 KB)
2008-1-7 17:11

毒霸的主程序被劫持了。。。

看来，他的自我保护也不怎么样啊～

(3)既然自我保护不怎么样，这两步我调换下顺序，先删他的主程序试试看！

截图 (21).png (27.23 KB)
2008-1-7 17:11

截图 (22).png (27.09 KB)
2008-1-7 17:11

果然不出所料，主程序直接被删掉了。。。

(4)再来结束实时监控的进程吧

截图 (23).png (14.74 KB)
2008-1-7 17:11

PS：我连防火墙的进程一起干掉了……

(5)最后，删除毒霸的安装目录！

截图 (24).png (18.28 KB)
2008-1-7 17:11

呵呵，也剩下一个DLL，没猜错的话，也是右键菜单的东东，我就不再细查他是个什么东东了……

4、江民杀毒软件2008

刚安装RKU，先给我来了一个下马威——看图！

截图 (25).png (20.4 KB)
2008-1-7 17:11

这个当然要允许，不然怎么测试啊。。。

(1)打开RKU，查看SSDT-HOOK情况，如图

截图 (26).png (28.1 KB)
2008-1-7 17:11

呵呵，还不少啊……

管他呢，点UnHook All，全部还原！！！结果……

截图 (27).png (8.71 KB)
2008-1-7 17:11

怎么搞的？怎么还剩下一个？居然还是未知模块名称。。。。先不管他，继续测试……

(2)映像劫持江民的实时监控主程序（KvMonxp.kxp），结果见图：

截图 (28).png (18.33 KB)
2008-1-7 17:11

呵呵，防御相当不错！

即便SSDT-HOOK被全部恢复（就算是全部吧，还剩一个NtTerminateProcess，和注册表无关），也不会被轻易的映像劫持！

(3)删除主程序，失败！

截图 (29).png (32.6 KB)
2008-1-7 17:11

(4)用任务管理器，结束进程，看图：

截图 (30).png (16.97 KB)
2008-1-7 17:11

呵呵，失败了哦。。。自我防御很出色的。。。。。

(5)非常规方法结束进程，用RKU，切换到Processes选项卡，

截图 (31).png (18.33 KB)
2008-1-7 17:11

右击江民的进程，强制杀死！

截图 (32).png (18.5 KB)
2008-1-7 17:11

成功，江民的进程终于挂了！引用:

延伸测试：江民为什么在恢复了SSDT-HOOK以后，依然能够拦截映像劫持呢？让我们切换到Shadow SSDT选项卡，一探究竟吧！

截图 (33).png (18.17 KB)
2008-1-7 17:11

原来，江民还在这里Hook了7个函数，所以，他不会轻易被结束进程或映像劫持！！！

PS：我把Shadow SSDT也UnHook All了，但是，依然无法进行映像劫持，这个我也搞不懂为什么了。。。。期待高手来解释一下吧。。。。

本人首发点饭，第二个发到卡饭，第三个应该是深度了。。。嘿嘿～

显示全部楼层 · 发表于 2008-1-7 17:33:48

5、费尔托斯特安全

(1)打开RKU，查看SSDT-HOOK情况，如图：

截图 (34).png (9.66 KB)
2008-1-7 17:11

居然少得可怜，只有一个NtOpenProcess，用来保护自身的进程不被结束。。。

真不忍心去UnHook，算了，先留着吧。。。。。

(2)映像劫持，真不敢相信，费尔有办法对付映像劫持吗？

他可是一个和注册表有关的函数都没有HOOK啊，我们一起来试试吧。。。。

打开注册表编辑器，定位到IFEO主键，新建项twister.exe，没有任何反应。。。

继续，在右边新建字符串值，命名为Debugger，依然没有反应。。。。

双击新建的字符串值，输入cmd /c echo，并确定。。。

怎么还没反应？？？不会吧？费尔居然对映像劫持不闻不问？？？

又过了N秒，终于，弹出了一个对话框，见图。。。。。。。

截图 (35).png (22.89 KB)
2008-1-7 17:11

我瀑布汗！这个是什么防御方法啊。。。

我要是写病毒的，映像劫持以后，直接重启系统，你有时间去点新弹出的对话框？？？

我点击了修复，费尔把twister.exe子项整个删除了。引用:

延伸测试：用特殊方法对费尔进行映像劫持

具体是什么方法，这里不便告知！

截图 (36).png (22.26 KB)
2008-1-7 17:11

由此可见，费尔无法解决此问题！

PS：绝对不是已被删除！下边的图是已被删除的结果，注意错误代码！

截图 (37).png (22.91 KB)
2008-1-7 17:11

(3)删除主程序，费尔的主程序和实时监控程序是同一个，所以，就不删除了。。。。

(4)常规方法结束进程，因为我没有恢复他的SSDT-HOOK，所以，这个就不测试了，直接进行下一步！

(5)删除整个安装目录，居然删掉了N多的文件……

我彻底无语，这个自我防护也太差了吧？！

PS：我还没有结束他的进程呢。。。

就在这时，更BT的提示出现了……

截图 (38).png (12.88 KB)
2008-1-7 17:11

瀑布汗，费尔居然要删除自己的启动项？？？

郁闷ing。。。

继续，恢复SSDT-HOOK，用taskkill结束进程

截图 (39).png (7.32 KB)
2008-1-7 17:11

然后，再次删除安装目录……

截图 (40).png (17.95 KB)
2008-1-7 17:11

晕，也被删的就剩下一个文件了？和瑞星、金山一样，估计也是右键菜单的。。。。

好了，测试到此结束！

我来总结下吧！

进程保护方面，表现最好的是江民2008，进程的自我保护超强！其次是微点，仅次于江民。
最差的是费尔，居然被ntsd给杀死了……

文件保护方面，表现得最好的是微点，无法对其安装目录内的文件做任何操作，其次是瑞星，能够在SSDT-HOOK被恢复的情况下，继续保护自己的文件。
最差的依然是费尔，在监控正常开启动情况下，文件都被我删了一堆。。。

注册表保护方面，表现的最好的，依然是江民，那叫强！其次还是微点，非常优秀！
最差的还是倒霉的费尔，貌似采用的和360安全卫士相似的技术监控注册表，延迟严重，而且不能主动拦截，只能被动修复。

Hook方面，表现的最好的，还是江民，Hook了Shadow SSDT表，保证不会被轻易还原，其次依然微点，能够自动恢复被还原的SSDT-HOOK！
表现的最差的是金山，SSDT表被轻易的还原了，而且他没有任何补救措施！

OK，最后声明一点，我不是偏向任何厂商，本次测试是本着公平、公正的原则进行的，如有任何疑问，请与我本人取得联系！

可以发送电子邮件与我取得联系，我的Ｅ-ＭＡ１Ｌ是songbowen_sbw[a*t]163.com（请将[a*t]换成键盘上的Shift+2）。
也可以在点饭论坛（http://www.mpfans.org/）或卡饭论坛（http://bbs.kafan.cn/）中，给我（我的论坛ID是SONGBOWEN）发送短消息。

显示全部楼层 · 发表于 2008-1-7 17:43:56

这个一定要来支持一下

显示全部楼层 · 发表于 2008-1-7 18:05:27

恩，评测的很细致，以前用IceSword通过SSDT自己做过，但好象没有完全恢复的接口，改天下一个RU玩玩

PS：费尔对基本的映象劫持还是有反应的，但却无法自动修复，不解

[ 本帖最后由月影天心于 2008-1-7 18:14 编辑 ]

显示全部楼层 · 发表于 2008-1-7 18:22:33

不错，什么时候来测一下国外的

显示全部楼层 · 发表于 2008-1-7 18:29:01

技术贴，一定要支持下，下次可以尝试下国外杀软

显示全部楼层 · 发表于 2008-1-7 19:16:36

这帖很好，很有参考价值，楼主什么时候在做做国外杀软或HIPS软件的自我保护测试？

显示全部楼层 · 发表于 2008-1-7 19:59:54

这个支持一下吧

显示全部楼层 · 发表于 2008-1-7 20:06:26

看了很心寒……费尔的自保能力让人难受……

显示全部楼层 · 发表于 2008-1-7 20:11:20

毛子的软件果然强悍～～
ati tray tool彻底代替了我的催化剂控制中心，Rootkit Unhooker一次没用好报废了我的vista……

[技术原创] 国内杀软自我保护大PK之（二）——SSDT-HOOK篇

评分