R3干掉ESET11全过程视频。

显示全部楼层 · 发表于 2018-4-14 23:06:47

假如开了HIPS拦截启动项是否能干掉？调用关机阻止是否也能拦截？

显示全部楼层 · 发表于 2018-4-15 08:40:54

本帖最后由驭龙于 2018-4-15 08:52 编辑

85683213 发表于 2018-4-14 22:35
为什么没有EGUI就没办法加载特征库啊

没有任何用户登入应该也要能防御啊？

这个我也奇怪，不知为何，没有EGUI启动的话，理论上应该不影响EKRN才对，想不通，况且现在的ESET本身就延迟启动EGUI，理论上加载特征库应该不需要它，可不清楚为何楼主的视频上是EGUI不存在的情况下重启系统，EKRN没有加载特征库（有可能是因为楼主的方法把驱动的启动也废掉了），注意EKRN进程的内存，2MB左右，这属于空进程，就是没有加载特征库的EKRN。

而且WD的MsMpEng就完全不需要用户进程，就可以完成一切，而且本身还拥有PPL级别的系统保护

显示全部楼层 · 发表于 2018-4-15 09:46:47

桑德尔发表于 2018-4-14 22:08
现在感觉我单位的win7电脑危机重重，甚至各个杀软的表现在不同系统上可能还有完全相反的情况，特别是近期 ...

ESET在新系统上支持确实是不错，对系统的新功能兼容也很好，但本身的查杀和修复，还是让人难忘。

显示全部楼层 · 发表于 2018-4-16 08:41:45

驭龙发表于 2018-4-14 11:50
是的，正常的情况下EGUI被结束，EKRN的保护还在，那是因为EKRN已经完成加载特征库的过程，而你这种方法过程 ...

刚才测试了一下，开机后 ekrn 无法用任务管理器结束进程。看来本能的自我保护还是有效的，看来自保不是在特征库中了。
等会再找下有没有win10的虚拟机镜像。

显示全部楼层 · 发表于 2018-4-16 08:51:23

本帖最后由驭龙于 2018-4-16 08:56 编辑

lixihong10 发表于 2018-4-16 08:41
刚才测试了一下，开机后 ekrn 无法用任务管理器结束进程。看来本能的自我保护还是有效的，看来自保不是在 ...

嗯，自我保护一般是驱动中的内置规则，蜘蛛也是这样，不过其实你这种方法算是成功干掉ESET的保护了。

似乎ESET的特征库和功能模块在win 10上也没有受到PPL保护，如果你是干掉它的特征库，那在10上也能让ESET保护失效

你如果有空，可以试一试能不能干掉WD 4.14，那货不需要用户进程，只需要MsMpEng，而MsMpEng受到PPL技术保护，并且WD的引擎和特征库（被MsMpEng加载以后）都受到PPL保护，不知你的方法能不能干掉WD的MsMpEng

显示全部楼层 · 发表于 2018-4-16 10:49:05

用ESET自己的HIPS加个规则保护自己进程有用吗？

显示全部楼层 · 发表于 2018-4-16 14:54:01

cloud01 发表于 2018-4-16 10:49
用ESET自己的HIPS加个规则保护自己进程有用吗？

你觉得ESET的HIPS难道没有保护自己的进程么

显示全部楼层 · 发表于 2018-4-16 14:59:59

桑德尔发表于 2018-4-16 14:54
你觉得ESET的HIPS难道没有保护自己的进程么

有是有，但如果HIPS一开始就拒绝这种程序加驱什么的，，。想得有点乱，又是一种顺序问题。

显示全部楼层 · 发表于 2018-4-16 15:13:06

cloud01 发表于 2018-4-16 14:59
有是有，但如果HIPS一开始就拒绝这种程序加驱什么的，，。想得有点乱，又是一种顺序问题。

虽然视频我没看，但是人家说是R3层的操作啊，加驱不就提权到R0么，况且都不需要ESET，win10本身就默认拒绝加载无数签的驱动

显示全部楼层 · 发表于 2018-4-16 15:15:35

桑德尔发表于 2018-4-16 15:13
虽然视频我没看，但是人家说是R3层的操作啊，加驱不就提权到R0么，况且都不需要ESET，win10本身就默认拒 ...

反正自己再加个规则总归好一点，而且强制重启会调用系统程序，这一步我的HIPS也能防住。

[其他相关] R3干掉ESET11全过程视频。

评分