感觉卡巴斯基的进程很容易就被结束的样子？

www-tekeze

楼主还可试下PowerTool和火绒剑，但就算能结束也不奇怪。。

ccboxes

星星#星星 发表于 2019-2-18 00:41
avpui.exe是UI界面，avp.exe也是吗？

原因很简单，PCHunter加载了内核驱动，其权限与卡巴的自我保护服务一致，又调用了微软的未公开API，当然可以轻松结束卡巴的进程。你换其他安软也一样，考虑到兼容性、稳定性和资源占用，安全软件不会部署太多驱动级的对抗手段。

你大可不必担心防护效果，病毒想要加载内核驱动要比PCHunter难得多。作为正规的ARK工具，PCHunter的驱动有微软认证，也被卡巴信任，自然可以轻松加驱。换成病毒，一个未知程序想要加载一个未知内核驱动，这个动作实在太大了，可以说有行为防御的安软都不会放过。

程序管理猿

ccboxes 发表于 2019-2-18 11:14
原因很简单，PCHunter加载了内核驱动，其权限与卡巴的自我保护服务一致，又调用了微软的未公开API，当然 ...

注册皮包公司弄个数字签名或者偷一个或者索性利用不规范的驱动，不是什么难事。据我所知，金山，火绒，腾讯的驱动都被黑产利用过。现在rootkit，bootkit不要太多，UEFI+ SecureBoot都能日。
另外行为分析上仅凭未知程序加载驱动就报毒的，应该很少。至少卡巴是没有这样。

记录微笑

程序管理猿 发表于 2019-2-18 12:30
注册皮包公司弄个数字签名或者偷一个或者索性利用不规范的驱动，不是什么难事。据我所知，金山，火绒，腾 ...

如果是没有受信任签名的程序加载驱动，个人版卡巴的PDM会报PDM:Suspect.DriverInstalltion.c    （好像是这个，我是凭记忆记这个报毒名的），然后提示用户并询问是否阻止；KES的话会直接报PDM:Suspect.DriverInstalltion.a 并且直接回滚。

程序管理猿

whl2606555 发表于 2019-2-18 15:22
如果是没有受信任签名的程序加载驱动，个人版卡巴的PDM会报PDM:Suspect.DriverInstalltion.c    （好像是 ...

PDM:Suspect.DriverInstalltion的判定条件具体是怎样的？云白名单还是看程序的数字签名，还是看驱动的数字签名？
另外现在黑产都会搞个有效签名的，不然windows本身的机制都过不去。

记录微笑

程序管理猿 发表于 2019-2-18 15:38
PDM:Suspect.DriverInstalltion的判定条件具体是怎样的？云白名单还是看程序的数字签名，还是看驱动的数 ...

首先是软件有没有卡巴信任的数字签名，然后再看驱动。但是卡巴的UDS反应速度很快，一般黑产可以快速响应，而且有恶意行为的话卡巴的高级清除也非常厉害。所以理论上不会有太大影响。

程序管理猿

whl2606555 发表于 2019-2-18 15:43
首先是软件有没有卡巴信任的数字签名，然后再看驱动。但是卡巴的UDS反应速度很快，一般黑产可以快速响应 ...

这话说的太满了。前不久样本区就有一个卡巴高级清除也清除不掉的。我去找找。

程序管理猿

whl2606555 发表于 2019-2-18 15:43
首先是软件有没有卡巴信任的数字签名，然后再看驱动。但是卡巴的UDS反应速度很快，一般黑产可以快速响应 ...

https://bbs.kafan.cn/thread-2138187-1-1.html
就是这个。一旦加载后基本上清除不了，除非offline。

记录微笑

程序管理猿 发表于 2019-2-18 15:46
这话说的太满了。前不久样本区就有一个卡巴高级清除也清除不掉的。我去找找。

你说的是网页保安，那个驱动用了很恶心的对抗方式，就连360急救箱都很难清除。一般这种都是PE才能查杀的，所有正常模式的杀软都不行。

程序管理猿

whl2606555 发表于 2019-2-18 15:47
你说的是网页保安，那个驱动用了很恶心的对抗方式，就连360急救箱都很难清除。一般这种都是PE才能查杀的 ...

没错没错，就是这个网页保安。