召集样本区所有高手

显示全部楼层 · 发表于 2008-2-4 19:54:25

.................................
安全软件杀毒没必要防~~

（特别针对安全软件的没意义
要就做自我保护时不小心把安全软件过了才真的牛
不过谁知道事实是什么

）

显示全部楼层 · 发表于 2008-2-4 19:57:54

原帖由 solcroft 于 2008-2-4 19:29 发表

说真的，不太相信吹说能抵抗is的自我保护
自己想想一下就能发觉这种事情不太可能
就算能，很多也只特别针对is，对付真正启动级木马未必有效，如果真的什么启动都能对付，这个杀软必定十分不稳定，不必针对它它自 ...

同意~~ 不过不晓得启动级是啥东东？

显示全部楼层 · 发表于 2008-2-4 20:03:32

IceSword的驱动是动态加载的，但是如果木马的驱动早于IceSword加载，完全可以反掉IceSword

显示全部楼层 · 发表于 2008-2-4 20:05:21

IceSword的自我保护只是NtOpenProcess和NtTerminateProcess，干掉inlinehook，IS的自我保护就废了

显示全部楼层 · 发表于 2008-2-4 20:07:14

貌似以后的木马可以做的很针对性。。。。
可惜对于特征码吃饭的杀毒软件而言，只能在没有入库前有效
对于hips倒是可以研究下对策

显示全部楼层 · 发表于 2008-2-5 14:44:08

如果说是杀进程的话，这几款软件都杀不了微点的进程。刚才用RKU想杀微点的内核模块，结果黑屏了，同归于尽

其他的也就没试了

显示全部楼层 · 发表于 2008-2-5 14:53:16

這些工具砍不了微點不代表病毒砍不了微點

重點是權限有了權限啥都砍的了尤其是針對性的

就像微點針對這些工具一樣

显示全部楼层 · 发表于 2008-2-5 16:06:20

楼上如果有你所说的病毒样本可以发给微点相信不会令你失望
EQ保护比较弱江民进程也可以轻松结束微点还在测试零件不全虽然冰刃无法砍掉微点但EQ RKU现在可以砍微点

显示全部楼层 · 发表于 2008-2-5 16:24:22

現在都內核保護的啦

進程被砍無所謂

[其他相关] 召集样本区所有高手