对于前几天看到的绕过自我保护方法的测试

温馨小屋

哪个大神把去BD官方论坛发帖了，似乎链接贴错了打不开。。。





-------------------------------------------------------

https://www.freebuf.com/vuls/220997.html

这网页介绍了一种R3下通过系统进程句柄杀杀软进程的方法，弄了个工程测试一下，国内的就不测了，好像除了360防住了，金山火绒电管全跪了。



失败的：


BDTS：





Avira Free：





Mcafee ENS：但是死了之后进程很快又被拉起来了

PS，进程太TM多了，在VS里写了老半天






免疫的：


卡巴斯基：实机的卡巴，avp和avpui都免疫，另一个图我没截





ESET：ekrn免疫，egui被杀，界面死了





WD：





反杀的：


avast free：小A的字体我觉得是所有杀软里最好看的，比卡巴那个烂字舒服多了




Norton Security：

修复:杀毒软件只需要对这些句柄进行去除权限操作即可.360很早之前就已经实现了.

有些厂商就是不上心啊，公开的技术问题都不修。


尤其是B开头的那个，感觉除了主防之外全是半成品，那更新界面打开界面跟易语言程序一样，不敢用了。。。

温馨小屋

huicuan 发表于 2020-2-24 15:49
你该测试下国内的微点啊，期待

运行VS编译的程序需要装运行库，我发现先装微点再装运行库是不可行的，微点扫描延迟太高，会导致安装程序文件释放延迟变得特别高，到最后就会出现https://bbs.kafan.cn/thread-2166317-1-1.html这里的问题，提示拒绝访问，神奇的是我把微点关了他的扫描服务还在卡文件，令人窒息。卸载了微点之后装运行库特别快就装完了。


上来把procexp杀了，这可是正牌微软工具，直接就杀了。。。






虽然没有PPL，但是微点应该做了去除权限处理

Miostartos

这玩意只要有PPL就是随便防。
只能说微软都给你喂嘴上了都不用，还能说啥呢。
PS.诺顿以前不支持PPL被搞过，现在要么是有针对性防护要么也PPL了

温馨小屋

Miostartos 发表于 2020-2-23 22:43
这玩意只要有PPL就是随便防。
只能说微软都给你喂嘴上了都不用，还能说啥呢。
PS.诺顿以前不支持PPL被搞 ...

有些厂商就是嘴硬，打死也不支持，之前BD还取消过一段AMSI，到现在虽然又加回来了但是脚本扫描还是一团糟，全靠ATD，ATD过了就再见了

Miostartos

温馨小屋 发表于 2020-2-23 22:52
有些厂商就是嘴硬，打死也不支持，之前BD还取消过一段AMSI，到现在虽然又加回来了但是脚本扫描还是一团糟 ...

也就WFP几乎是全支持了。
毕竟那是真好用。
ELAM,AMSI和PPL，微软win8就弄进去了，还是一大堆不肯用的。

renyifei

Miostartos 发表于 2020-2-23 22:54
也就WFP几乎是全支持了。
毕竟那是真好用。
ELAM,AMSI和PPL，微软win8就弄进去了，还是一大堆不 ...

EMSI，FS:你再骂?

Miostartos

renyifei 发表于 2020-2-23 22:56
EMSI，FS:你再骂?

FS那是设计理念问题。我倒挺佩服人坚持己见光明正大说出来的。
EMSI小厂子没精力还能理解。

温馨小屋

renyifei 发表于 2020-2-23 22:56
EMSI，FS:你再骂?

当年EMSI的回复，都惊了，打死也不支持。。。

Miostartos

温馨小屋 发表于 2020-2-23 23:01
当年EMSI的回复，都惊了，打死也不支持。。。

其实说白了就是不想或者没能力维护两套系统。
干脆把适用范围小的就扔了。
等哪天不支持win7了可能就真香了

，就一个.

WD 诺顿 ESET  卡巴 avast  360安全卫士 除了诺顿我不知道，其他的确定的都用了PPL技术。

桑德尔

Miostartos 发表于 2020-2-23 22:43
这玩意只要有PPL就是随便防。
只能说微软都给你喂嘴上了都不用，还能说啥呢。
PS.诺顿以前不支持PPL被搞 ...

现在诺顿本体好像也没有用PPL自保