驳斥"卡吧的进程自我保护是这样的"一文

卡巴专家

其实卡巴的进程保护与那个服务是没关系的,就算你把那个服务关闭,卡巴也会照样保护你的电脑,保护并不会失效,但可能有些组件会失效,我姐有一台装卡巴6.0的,服务已经被关闭无法开启了,除了邮件保护失效外,自我保护组件依然没失效,用taskkill/ntsd都无法kill其进程,主动防御组件也运转正常的,看来电脑知识还要普及啊

x2x4

自己试试能不能删除卡巴文件就知道了,用冰刃多次结束卡巴并禁止进程重建,可以砍掉卡巴,但是,服务项依然无法更改其属性,而且,卡巴安装文件夹虽然可以新建文件,但是,任何文件都无法更改和删除.
NOD32多次结束后,服务项可以设置更改,NOD安装文件可以任意删除修改......

Wesly.Zhang

卡巴用驱动SSDT-HOOK的，除非你把卡巴的klif.sys文件给Kill掉，否则它总是保护着自身。

XANADU

上次有位朋友说：NOD很聪明，没有使用SSDT挂钩
   意即：通过SSDT挂钩的杀软，一旦被恢复SSDT，自我保护就失效

暂不说这个说法是否正确
实践中，NOD的文件可以被轻易删除，卡巴的则删除不了
NOD并不聪明，使用“自动重启服务”的属性设置，让普通用户误以为它的进程无法结束
实际上，只要停止那个服务项，它的自我保护就成了空谈

PS：如果将红伞的服务属性设置为“自动重启服务”，那么它的自我保护也很强大哦

[ 本帖最后由 XANADU 于 2008-1-26 17:32 编辑 ]

ZeroHex

拜托你先真的实践下好了，NOD的文件目录真的可以被轻易删除？你把两个进程结束了再试下删除它的目录试下吧，看可不可以轻易删除吧，还有那个NOD的AMOM其实是个驱动模块来的，就算服务被禁用了，进程也结束了，开机启动项也删除了，重启电脑后驱动一样加载的，也就是仍然无法解压或运行病毒。不是简单的服务保护。你去试一次就明白了。

[ 本帖最后由 ZeroHex 于 2008-1-26 17:49 编辑 ]

gxrsprite

这样啊 学习了

ZeroHex

还有，卡巴这经验老道的杀软可不是简单的HOOK了SSDT，连内核函数它都HOOK了。

wangjay1980

还用驳斥吗？

那种水平的文章居然有人会相信，一笑而过吧

x2x4

原帖由 ZeroHex 于 2008-1-26 17:42 发表
拜托你先真的实践下好了，NOD的文件目录真的可以被轻易删除？你把两个进程结束了再试下删除它的目录试下吧，看可不可以轻易删除吧，还有那个NOD的AMOM其实是个驱动模块来的，就算服务被禁用了，进程也结束了，开机启 ...

不幸的是,昨晚我的实验结果:
先用冰刃结束卡巴和NOD进程,并禁止创建新进程,则他们都失效.
然后看服务项,卡巴的无法停止,无法操作.
NOD的可以更改设置,甚至可以停止.
卡巴终止了进程安装文件夹可以新建文件,但是无法删除修改
NOD结束进程手动结束服务后,想怎么删怎么删.....

ZeroHex

请问你试的是2.7还是3.0？