我认为瑞星的驱动和系统加固和文件监控都应该大改了，因为很多东东都是鸡肋了

shulun743

发现 无论是 ark 工具 还是 一小撮病毒都能结束 瑞星的 进程

并且一些 友商 也 利用 瑞星的 这个 特性 ，来 流氓瑞星 ，制造了一大批 无法卸载瑞星的案例出来 ，造成瑞星都难卸载的现象 汗牛充度啊！！！

那么 造成这种现状的 原因是什么呢？？？

我个人认为 是瑞星的 逻辑有问题 ，或 产品存在一个观点就是 ----------------------->  驱动对抗无意义！！！

那么  这观点 对吗？？？

答案是对的，  同级对抗确实是 没有意义的！

因为都具有相同的权限 ！！！

众所周知，驱动是 运行在 内核层的， 就是 ring0层的 ，   而 杀软 利用驱动 进入 内核 ，目的呢？

目的：

实现 系统的 控制权！  分为 对文件  进程   注册表  网络的 控制，就是 hips 所谓的 4D防御啊！！！

a、文件控制

分为对文件的 读  写 创建  删除 ，四个 操作！！！

b、注册表

同上，

c、进程控制

这个可就多了 ，简单的举几个例子

如： 进程  和  线程 启动  、  结束 以及挂起；   驱动加载、注册服务、 调试、注入等！！！

d、联网控制

exe 或 dll的 链接控制 等 ，在此不再赘述！！！

那么 杀软是 如何被结束 ，或 破坏的呢？？？

请看二楼

shulun743

那么 驱动是 怎么对抗的呢？？？

是不是 驱动 都拿着刀 ，对砍呢？

还是 都拿着枪，突突突？？？

情况是这样的：：：----------------------------------------------》

以 杀软的文件保护举例：

实际上，驱动是 一个很傻的 东东，傻到什么程度呢？就是 你让它向东，它不会向西

你让它打狗 ，它不会打鸡

你让它跳楼 ，不好意思 ， 真跳下去了

驱动会在 内核 放上 一群汪汪的 ，明白了吗？就是 监视啊（钩子  hook） ，没有汪汪 怎么行呢？

然后 有个 毒虫子 ，说 我要 修改 瑞星的 文件行吗？   汪汪会反馈给 驱动 ，问 行不行嘛？？？

然后 驱动 ，会查询自己的 配置规则 ，是否允许啊  ？  若 规则说 行啊 ，你访问吧，好吧 可怜的 瑞星就中招了！！！

那么驱动是怎么工作的呢？？？ 就是 有东东 要操作文件了，  汪汪发现了 并报告了瑞星了

驱动就会 通过 循环来 检测 是否是 触发的规则 ， 又是什么遍历 啊  ，枚举啊 ， 还是 什么什么的 ，就是一堆循环代码啊！！！

每次循环出 一个 动作 ，驱动 就会判断 是否符合 或触发 规则了呢？

怎么判断  不过是   if a== a ：

是的话，就是 报警提示，

如果  if a==b：呢

这种情况  就直接 舍弃了的！！！

这就是 杀软的 拦截 机制 ，是不是 很傻 ，很坑爹呢？

那为何 会 漏掉 监控了呢？？？

两中 可能 ：：：---------------------------------------------------》

a、没有这个规则 ，

这个 好解释 ，通过 if 判断   因为没有这个 规则 ，只好 放行了

b、内核中 有一群 汪汪呢

但这些 汪汪 又不能太多，  太多会吃掉内核的

因为你会发现 电脑的 脸上 淌汗 ，气喘如牛 ，而 用户  在 狂甩 鼠标呢？为何?

因为性能啊 ，性能不允许啊  卡的要死啊！！！

这样的 话 ，总会有 牛逼的 刺客 ，强盗 能 绕过 汪汪 进入 房间 ，做坏事 ，不叫汪汪发现，因为院子中没有全部撒上汪汪

只有关键的部位有汪汪，还有些 如假山 或 鱼池  以及 凉亭 没有汪汪巡逻啊

这时 ，东东就会 利用这些部位 ，绕过满院子的汪汪 ，进入 房间 ，杀死警察，  而 汪汪却没有发现，而 exe 阵亡了

这也是 杀软 文件被 破坏 或 进程被结束 的原因 坑爹啊

这也是 为何 瑞星不做驱动对抗的 原因 ，

因为 瑞星认为  两个 人 都有枪 ，或 都有刀  ，互砍 是 两虎相争 ，两败俱伤的  。

所以  瑞星 做的 就是 拼命 阻止  东东 进入 房间 ，利用 汪汪来 监视 ，发现 东东！！！

只要 东东不进入 房间，  杀软就会 有绝对 控制权 （房间就是内核）

第二个原因 ，就是 驱动同级对抗 ，在内核中对抗 ，   就是 两个 驱动 同时 对 文件来进行 控制

两个驱动 同时 在 循环  + 判断  +  循环 + 判断

一个 驱动 发抽  ， 有错误 就会 陷入 死循环 ，就是 迷路了 ，出不来了

就会 蓝屏 ，  你想啊 ，用户的 电脑 因为 两个驱动的对抗 陷入 蓝屏 ，遭殃的是谁？？？

他妈的就是 鬼子 和 老毛子 ，在东北开战 ，遭殃的 老百姓是 谁家的？？？

这就是 驱动对抗的实质！！！

shulun743

[:01:][:01:][:01:][:01:][:01:]

我是友商 ，我是 东东

我要充分利用 这个好机会啊

瑞星在 内核层 ，尽量的 不做 驱动对抗啊

我要 利用我的 软件 卸载瑞星 ，最后 利用 驱动 强制删除瑞星的文件 ，但是却是 删除部分文件 ，没有删除全部的文件啊

要是你卸载 ，为了 方便 用户 ，你倒是 将 瑞星 所有文件 ，和 注册表 全部删除也行啊 ，你只删除部分做什么呢？

这不是故意的吗？  一个软件 ，缺失了部分文件会出现 什么情况呢？？？  肯定是 卸载不掉 ，运行不了 或 升级不了吧

更有甚者 ，利用垃圾清理 ，删除 部署系统？？？

你说 你要是 删除就删除吧 ，你为何要 删除 人家的  程序备份呢？？？  告诉我为何？？？ 为何要 删除人家的 升级程序呢？？？

部署系统就是 人家的 备份程序 和   升级程序 和 卸载程序的 总成！！！你把人家的这些 删除掉？是何居心呢

所以造就了 一批 良民 ，   在网上 谩骂 ，到底是谁的过错呢？？？

shulun743

为何说 驱动 ，系统加固和 文件监控要改呢？？？



看了上述 部分 ，难道 不需要 修改一下 汪汪的 位置（驱动 hook）？

改变一下 看门的策略？（毕竟狮子在房子中 拿着望远镜看着 汪汪的表现-----规则 ）

有些规则 无法拦截 强制重启了 ，并且 修改 系统账户 ，也需要 加强控制了！！！

况且 友商的做法 ，太伤人心啊！！！

至于文件监控呢？？？



瑞星的 病毒处理机制 太先进了 ，居然 尝试 不结束 病毒进程的 情况下，直接 清除病毒代码！！！

   有多大的 信息量？  卡巴也没有做到啊

但是 文件监控报警 ，瑞星没有 挂起病毒的 线程 ，就让病毒 在 瑞星倒计时的这个时间段 狂欢了10多秒

倒是  挂起 病毒线程  ，时正确的方法啊？因为 都是报警了 ！！！

这样 也 限制了病毒的 病毒的 能力 ，将 (⊙o⊙)… 降到最低

毕竟 瑞星的处理病毒进程的 方法 太 先进了 ，先进的 技术有点不成熟 ，瑞星 直接 操作 病毒的函数 ，造成病毒异常退出！！！

但是 技术不是很稳定 ，经常见不到   函数错误的额提示 ，所以 有必要增加 文件监控 增加 自动  ，若发现病毒，自动挂起病毒线程功能

增强对病毒进程的控制！！！

另外 瑞星处理了 病毒 ，却对 病毒 远程线程 视而不见 ，也是不对的

Translogic

64位上的缺陷 什么时候弥补了  再用

shulun743

Translogic 发表于 2016-7-7 11:44
64位上的缺陷 什么时候弥补了  再用

什么缺陷？

缺少 行为防御吗？

其实不要紧 ，因为 警察 都被限制了 ， 小毒 不是更被限制了吗？？？

因为 微软 对 x64 控制高 ，要求 驱动强制签名  ，

并且 禁止 修改 内核 ，所以 所有杀软 都在 x64 下 弱  ，达不到在32下的强度

至于 有 行为防御 ，不过就是 类似 利用 cpu 的 虚拟化，这个功能 要进入 bios中开启

很多杀软 ，都是 默认关闭的呢

jefffire

内核对抗 以前江民搞过一次 现在坟头草三尺。

关于瑞星难以卸载
我想请问 每个卸载不了瑞星的用户 都同时安装了竞品么？如果不是，那是谁的责任？
再问  瑞星部署系统 难道是友商给用户装上的？如果不是，这又是谁的责任？
三问  瑞星没搞过推广联盟？每个推广都是干干净净？

jefffire

shulun743 发表于 2016-7-7 11:56
什么缺陷？

缺少 行为防御吗？

hook API 和 调用API 是两码事。 微软限制了前者 没有限制后者。病毒不需要hook只要调用就行了。

shulun743

jefffire 发表于 2016-7-7 13:10
hook API 和 调用API 是两码事。 微软限制了前者 没有限制后者。病毒不需要hook只要调用就行了。

我没有说 是 一回事 啊

病毒 直接 调用？

请求 ring3下的 函数？？？

ssdt 还有啊

shulun743

jefffire 发表于 2016-7-7 13:07
内核对抗 以前江民搞过一次 现在坟头草三尺。

关于瑞星难以卸载

一个是 竞品  ，还有 假瑞星 ，这个 是 友商的责任 ，

部署系统是 瑞星的 备份 和 升级程序和卸载程序 啊 ，你看不懂我的文字？

我的意思是 为何 要 处理 人家的 备份呢？  为何 要删除人家的 升级和 卸载程序呢？？？

是 瑞星是有 推广 ，但是 人家的 程序都是功能正常的 ，  但是 有些友商 把人家的程序阉割 l

把人家的 卸载程序 删掉了，    为何 让 它的程序 在 控制面板中 没有卸载项？？？

为何 让 程序 没有升级程序 ，    为何不能修复 ？  为何主程序打不开？

还不是 假的吗