查看: 5471|回复: 39
收起左侧

[讨论] 对于前几天看到的绕过自我保护方法的测试

  [复制链接]
温馨小屋
头像被屏蔽
发表于 2020-2-23 22:29:24 | 显示全部楼层 |阅读模式
本帖最后由 温馨小屋 于 2020-2-24 09:55 编辑

哪个大神把去BD官方论坛发帖了,似乎链接贴错了打不开。。。





-------------------------------------------------------

https://www.freebuf.com/vuls/220997.html

这网页介绍了一种R3下通过系统进程句柄杀杀软进程的方法,弄了个工程测试一下,国内的就不测了,好像除了360防住了,金山火绒电管全跪了。



失败的:


BDTS:





Avira Free:





Mcafee ENS:但是死了之后进程很快又被拉起来了

PS,进程太TM多了,在VS里写了老半天






免疫的:


卡巴斯基:实机的卡巴,avp和avpui都免疫,另一个图我没截





ESET:ekrn免疫,egui被杀,界面死了





WD:





反杀的:


avast free:小A的字体我觉得是所有杀软里最好看的,比卡巴那个烂字舒服多了




Norton Security:










修复:杀毒软件只需要对这些句柄进行去除权限操作即可.360很早之前就已经实现了.

有些厂商就是不上心啊,公开的技术问题都不修。


尤其是B开头的那个,感觉除了主防之外全是半成品,那更新界面打开界面跟易语言程序一样,不敢用了。。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5分享 +3 人气 +7 收起 理由
Picca + 1 赞一个!
BE_HC + 1 很给力!
swizzer + 1 很给力!
HEMM + 1 看不懂!请重测一遍~
屁颠屁颠 + 3 感谢提供分享

查看全部评分

温馨小屋
头像被屏蔽
 楼主| 发表于 2020-2-24 16:33:30 | 显示全部楼层
huicuan 发表于 2020-2-24 15:49
你该测试下国内的微点啊,期待

运行VS编译的程序需要装运行库,我发现先装微点再装运行库是不可行的,微点扫描延迟太高,会导致安装程序文件释放延迟变得特别高,到最后就会出现https://bbs.kafan.cn/thread-2166317-1-1.html这里的问题,提示拒绝访问,神奇的是我把微点关了他的扫描服务还在卡文件,令人窒息。卸载了微点之后装运行库特别快就装完了。


上来把procexp杀了,这可是正牌微软工具,直接就杀了。。。






虽然没有PPL,但是微点应该做了去除权限处理



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Miostartos
发表于 2020-2-23 22:43:45 | 显示全部楼层
本帖最后由 Miostartos 于 2020-2-23 22:48 编辑

这玩意只要有PPL就是随便防。
只能说微软都给你喂嘴上了都不用,还能说啥呢。
PS.诺顿以前不支持PPL被搞过,现在要么是有针对性防护要么也PPL了

温馨小屋
头像被屏蔽
 楼主| 发表于 2020-2-23 22:52:46 | 显示全部楼层
Miostartos 发表于 2020-2-23 22:43
这玩意只要有PPL就是随便防。
只能说微软都给你喂嘴上了都不用,还能说啥呢。
PS.诺顿以前不支持PPL被搞 ...

有些厂商就是嘴硬,打死也不支持,之前BD还取消过一段AMSI,到现在虽然又加回来了但是脚本扫描还是一团糟,全靠ATD,ATD过了就再见了
Miostartos
发表于 2020-2-23 22:54:44 | 显示全部楼层
温馨小屋 发表于 2020-2-23 22:52
有些厂商就是嘴硬,打死也不支持,之前BD还取消过一段AMSI,到现在虽然又加回来了但是脚本扫描还是一团糟 ...

也就WFP几乎是全支持了。
毕竟那是真好用。
ELAM,AMSI和PPL,微软win8就弄进去了,还是一大堆不肯用的。
renyifei
发表于 2020-2-23 22:56:14 | 显示全部楼层
Miostartos 发表于 2020-2-23 22:54
也就WFP几乎是全支持了。
毕竟那是真好用。
ELAM,AMSI和PPL,微软win8就弄进去了,还是一大堆不 ...

EMSI,FS:你再骂?
Miostartos
发表于 2020-2-23 22:58:49 | 显示全部楼层

FS那是设计理念问题。我倒挺佩服人坚持己见光明正大说出来的。
EMSI小厂子没精力还能理解。
温馨小屋
头像被屏蔽
 楼主| 发表于 2020-2-23 23:01:02 | 显示全部楼层

当年EMSI的回复,都惊了,打死也不支持。。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Miostartos
发表于 2020-2-23 23:05:28 | 显示全部楼层
温馨小屋 发表于 2020-2-23 23:01
当年EMSI的回复,都惊了,打死也不支持。。。

其实说白了就是不想或者没能力维护两套系统。
干脆把适用范围小的就扔了。
等哪天不支持win7了可能就真香了
,就一个.
发表于 2020-2-23 23:16:22 | 显示全部楼层
WD 诺顿 ESET  卡巴 avast  360安全卫士 除了诺顿我不知道,其他的确定的都用了PPL技术。
桑德尔
头像被屏蔽
发表于 2020-2-24 07:46:36 | 显示全部楼层
Miostartos 发表于 2020-2-23 22:43
这玩意只要有PPL就是随便防。
只能说微软都给你喂嘴上了都不用,还能说啥呢。
PS.诺顿以前不支持PPL被搞 ...

现在诺顿本体好像也没有用PPL自保
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 12:54 , Processed in 0.200944 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表