查看: 4485|回复: 17
收起左侧

[其他相关] FS的进程能被手动结束?自保差?看你怎么看了

[复制链接]
猪头无双
头像被屏蔽
发表于 2016-12-28 18:19:54 | 显示全部楼层 |阅读模式
嗯。这个帖子按理说应该是被发往FS区的。但是之所以拿出来,是因为有必要借着这个问题解释一下杀软自保是否差的问题。

因为我也是小白,所以相关的技术类分析等大神上马。我就结合手边的东西说说吧。对不对的各位多批评。

++++++++++++++++++++++++++++++

正题部分:

嗯,多少年来。我们在卡饭的众人都有一个印象:软件自保好不好,手动能否在任务管理器里结束进程是个可以看得见的标准。一般认为,凡是手动能结束进程的。往往自保差。而手动结束不了进程的,往往自保很好。

比如说,FSIS据说任何进程都能手动结束,之后Windows会弹窗说缺少病毒防护,是不是这样呢?我装上了我的FSIS试了试。



这是我的系统和FSIS。之后我去结束了两个进程,结果比较··· ···



链接: https://pan.baidu.com/s/1jIM82Lg 密码: 62s1

这是我录制的一段小视频,懒得转换格式了。优酷支持WMV格式,所以就传网盘了。

但是可以说明的一点是,至少不是所有FSIS的进程都能手动结束不再生

比如我视频中的FS Scanner Manager这个进程,手动结束之后会再生。

当然也有进程可以手动结束,比如

FS Management Agent 和 FS ORSP Client这两个进程,不但手动可以结束,相关的服务也随之而停止运行了。



+++++++++++++++++++++++++++++++++++++++

那么可能有人会说,这样不是很不安全吗?如果有一个病毒能够模仿人工动作,手动结束进程,那么之后不就是为所欲为了?好可怕

问题这就来了。

首先,我们来看看是否有病毒或者样本能做到这一点呢?


查了一下,唯一靠点谱的是这个帖子:http://bbs.kafan.cn/thread-1500919-1-1.html

而在这个帖子里,该病毒查找的也不是360、金山、瑞星等所有进程。(或许结束了这些进程之后会有后续动作,但实机未测试),

而如果你搜索关于“手动结束FS进程”的话,卡饭的帖子还真不少

http://bbs.kafan.cn/thread-1349444-1-1.html

http://bbs.kafan.cn/thread-1691264-1-1.html

以上两例

这里个人比较认同这种说法:

1.按照官方的说法,既然微软系统赋予了任务管理器终结软件进程的权力,那用户就该享有这一种终结的方法。
2.FS是觉得自己的对外防御已经足够强大到了不可能有病毒活着抵达本地来终结其进程了吗?
------不妨假想一二:当病毒已经开始进入任务管理器开始终结杀毒软件进程了,那已经说明用户所配置的杀软几乎就是种摆设,对这种病毒是无法识别的。既如此,所谓的“病毒欲在任务管理器终结杀软进程,而杀软坚挺的强行抵抗“,真有多大的现实意义吗?无法识别就是无法识别,等着用户电脑痛苦万分的挨到杀软升级毒库后识别,额,用户能确定得多久这个时间是短还是长?
3.这个问题的确存在很久了,最近一两年FS还是一定程度上提高了这样自保能力,但也只是一定程度上。呵呵,如第一点所言最后还是归于还是各自理念不同吧。


而更多程度上,有BD引擎和DG在,大部分的样本可能连运行的机会都没有。

所以推而广之。当你在任何杀软防护全开,毒库最新,能够连云的时候还能找到无视这个杀软的免杀样本,并且能够中招到杀软不提示,能够模拟你的动作直接结束进程而你还毫无反应(至少windows安全中心的弹窗提示总会有)的话, 那么这病毒未免太NB了些,请你在中毒之余,买张彩票吧。


所以,不必纠结手动结束进程会证明杀软自保差、不安全的说法,如果病毒真能折腾死杀软,你自己对杀软的神补刀绝不会少。比如按照提示乖乖的结束进程、退出杀软,关闭实时监控等。所以不是一个病毒把你的杀软干倒的,是你和病毒一起,把杀软干倒的。

说来说去,人最关键,毕竟决定权在你手里,如果你非要铁了心安装什么软件,世界上所有杀软围成一圈阻止你,你也一样会无视的。

好了,我去乖乖重启电脑恢复自保了,你们慢慢喷。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
追影子的十三 + 1 不过说实话,FS的自保让我纠结了很久
HEMM + 1 好大一串~

查看全部评分

神龟Turmi
发表于 2016-12-28 18:29:36 | 显示全部楼层
本帖最后由 神龟Turmi 于 2016-12-28 18:30 编辑

是这样的,你可以用CSharp写一个简单的程序 来实现结束进程
[mw_shl_code=javascript,true]Process[] ps = Process.GetProcesses();
foreach (Process item in ps)
{
    if (item.ProcessName=="FSMA")
    {
        item.Kill();
    }
}[/mw_shl_code]

一般来说 这样是结束不掉的。

那么问题来了,为什么任务管理器能结束呢?
因为任务管理器的权限高于一般的程序,如果反抗,处理的不好会蓝屏
(举例:Malwarebytes Anti-Ransom在win10 RS1中,更新之前 一结束就蓝屏)
但是也没发现有别的样本会使用任务管理器来结束杀毒软件的。。。
所以说 一般的可以认为任务管理器结束的就是用户的行为

杀毒软件不需要通过“自我保护”反抗
pal家族
发表于 2016-12-28 18:33:00 | 显示全部楼层
神龟Turmi 发表于 2016-12-28 18:29
是这样的,你可以用CSharp写一个简单的程序 来实现结束进程
[mw_shl_code=javascript,true]Process[] ps = ...
但是也没发现有别的样本会使用任务管理器来结束杀毒软件的。。。
所以说 一般的可以认为任务管理器结束的就是用户的行为

杀毒软件不需要通过“自我保护”反抗


objected!
欧阳宣
头像被屏蔽
发表于 2016-12-28 18:34:43 | 显示全部楼层
连任务管理器都结束不了的杀软,又和病毒有什么区别呢
神龟Turmi
发表于 2016-12-28 18:36:15 | 显示全部楼层

Over ruled!We've reached a verdict.
§夢非夢§
发表于 2016-12-28 19:23:41 | 显示全部楼层
在我这系统RS1里进程全结束后再结束托盘,等了有十多秒没再生BG在同环境中结束进程无效所以我又折腾回BG配数字
瀚源书童
发表于 2016-12-28 20:25:17 | 显示全部楼层
§夢非夢§ 发表于 2016-12-28 19:23
在我这系统RS1里进程全结束后再结束托盘,等了有十多秒没再生BG在同环境中结束进程无效所以我 ...

主防不冲突?
§夢非夢§
发表于 2016-12-28 20:28:57 | 显示全部楼层

挺流畅的,但云主防先拦截
zfc234
发表于 2016-12-28 21:56:40 | 显示全部楼层
真的没有必要纠结FS的自保问题,目前也没有看到有这么厉害的virus能过DG然后终结FS进而感染的例子。我还是觉得像FS这样引擎足够好外加云端给力的云地组合是我目前最喜欢的杀软没有之一~
彩虹丶//
头像被屏蔽
发表于 2016-12-29 22:17:54 | 显示全部楼层
神龟Turmi 发表于 2016-12-28 18:29
是这样的,你可以用CSharp写一个简单的程序 来实现结束进程
[mw_shl_code=javascript,true]Process[] ps = ...

为何kes,BD,avira在Windows 10 14986上面自我保护都有用腾讯国际版自我保护,监控什么都失灵了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:31 , Processed in 0.172633 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表