杀软自定义安装到C盘外及杀软不拦截mountvol真的好吗？

落华无痕

样本区某水了16页的帖可以看出，很多杀软不拦截mountvol操作。
当然如果杀软装在C盘，执行：“mountvol c: /d”后杀软运行不正常，病毒也别想正常运行。

那么问题来了，如果杀软装在DEF等盘，而病毒在C盘，那病毒执行“mountvol /d”卸载杀软所在的盘，是不是病毒干什么都可以了？

虚拟机里用360卫士、火绒、腾讯做了下试验（懒得发图，有兴趣自己试），都不拦截mountvol卸载杀软所在盘的操作。

卸载盘符后360卫士挂了，病毒正常运行。电脑管家还能禁止病毒运行，但无提示。火绒正常弹出拦截提示窗口，病毒无法运行。

虽然有杀软拦截了病毒，但是不拦截卸载盘符操作，意味着重启后杀毒软件就彻底挂了。意味着可以加密某个病毒，第一次运行只执行批处理卸载盘符，并添加启动项，开机启动后才解密运行，那样杀软就拦截不了了。当然火绒在没重启前还是能拦截添加启动项操作，不过可以查找已有的开机启动项，用病毒文件替换该启动项对应文件。

补充：
还有个很有意思的一点，假设某个杀软装D盘，我在E盘类似路径复制一个杀软副本，然后替换其中的一些程序。之后用mountvol对调D和E盘盘符，那么我在杀软界面点击某些菜单杀软会打开我替换的程序。

zay365

之前有人发现杀软装到非系统盘时对所在盘执行chkdsk /x操作强制卸载卷，一堆杀软都挂了

Mouyase1

zay365 发表于 2020-8-7 11:47
之前有人发现杀软装到非系统盘时对所在盘执行chkdsk /x操作强制卸载卷，一堆杀软都挂了

BD也不能幸免?

WAR314159

杀软除了360杀毒可以安装其他盘，其他杀软都是强制C盘

落华无痕

zay365 发表于 2020-8-7 11:47
之前有人发现杀软装到非系统盘时对所在盘执行chkdsk /x操作强制卸载卷，一堆杀软都挂了

刚测试了下，杀软在系统盘也受到对调盘符操作的影响。只更改C盘盘符，重启后盘符又会变回C盘。

举个例子，先复制系统盘的system32和syswow64到D盘对应位置，之后对调系统盘和D盘盘符，重启后杀软挂了，删除D盘的杀软文件夹，再对调回盘符，重启系统又恢复正常状态而杀软没了。

zay365

落华无痕 发表于 2020-8-7 13:11
刚测试了下，杀软在系统盘也受到对调盘符操作的影响。只更改C盘盘符，重启后盘符又会变回C盘。

举个例 ...

mountvol居然能够把系统盘给卸载掉
这应该是个普遍存在的漏洞吧，可以提交

Mouyase1

zay365 发表于 2020-8-7 13:16
mountvol居然能够把系统盘给卸载掉
这应该是个普遍存在的漏洞吧，可以提交

提交给微软?
我觉得改进的可能性不大.

zay365

Mouyase1 发表于 2020-8-7 19:16
提交给微软?
我觉得改进的可能性不大.

提交给各个杀软厂商

落华无痕

有兴趣可以到这里测试下：看装在C盘的杀软，运行样本并重启后有几个杀软目录是删不了的

Anan20060615

卸载、更改杀软所在盘符应当作为危险行为拦截
这盘符利用BUG越看越眼熟。。。仔细一想怎么跟喷叔@kfne12 的路径利用系列BUG有点像不过居然还有用卷标达到目的的
怎么说那，基于文件路径利用可以用锁定文件解决，盘符的话就用GUID代替之