Ring3下另一种结束卡巴斯基进程的新技术

csliss

标 题: 【原创】Ring3下另一种结束卡巴斯基进程的新技术
作 者: nevergone
时 间: 2008-06-05,07:15
链 接: http://bbs.pediy.com/showthread.php?t=66063

原创，转载请保留全部信息
   卡巴斯基<1>启动的时候，两个进程内部都会创建一个事件用于同步退出，当显示关闭这个事件时，AVP进程会退出。这个事件内核对象名字是一个
GUID，一开始我以为是动态生成的，但据我逆向及在其他机器观察，这个事件是硬编
码，”6953EA60-8D5F-4529-8710-42F8ED3E8CDA”(为了方便，在本文，我把这个事件写成A事件，我猜想卡巴斯基开发
人员肯定读过windows核心编程，Jeffrey Richter 建议用GUID来命名事件^_^)。打开procexp.exe查找两个
avp.exe<2>进程内核对象，关闭A事件，这时AVP进程就会退出，各位看官可以在自己机器上测试^_^，AVP进程守护功能<3>在此不起作
用。Procexp.exe是如何做到关闭其他进程内核对象的呢？逆向之后发现procexp.exe是在ring0下完成的，偶不用ring0，直接
ring3。
    卡巴斯基有Hook NtOpenProcess，不过当我们以PROCESS_QUERY_INFORMATION打开AVP时，仍然可以成
功<4>，同样卡巴斯基也有Hook NtDuplicateObject，一开始我以为如果调用DuplicateHandle来改变desire
access会失效，据牛人张翼的话：很多HIPS挂了NtDuplicateObject也是白挂。于是我尝试用Duplicate(….
PROCESS_DUP_HANDLE….)改变进程的desire access，卡巴斯基有两个进程，其中一个以SYSTEM账号运行的AVP进程
不能打开，只能打开另一个以当前用户运行的进程，足够了。当我们终止以当前用户运行的AVP进程时，卡巴就失效了。
    成功打开了句柄后，采用NtQuerySystemInformation SystemHandleInformation 功能号枚举句
柄，当枚举到的句柄是A事件时，我们用刚才打开的进程句柄，用
DuplicateHandle(..DUPLICATE_CLOSE_SOURCE)，DUPLICATE_CLOSE_SOURCE标志位关闭
source进程内的句柄，AVP进程感应到退出事件，退出。
代码详见附件，如果发现有BUGS，请mail me : wangyongxina@gmail.com
       感谢猪头三的技术支持~

注<1>：我开发用的版本如下：
kis8.0.0.402en.exe，kav8.0.0.402en.exe，kis7_0_1_325sch.exe。其他版本可能会运行失败。早
期的KIS7.0.2(我忘记版本号了)，这种方法无效。
注<2>：卡巴斯基在启动的时候，可能会启动三个进程，其中有一个用于升级，本文不考虑这种情况。
注<3>：卡巴斯基有进程守护功能，当结束其中的一个时，如果是以当前用户运行的AVP进程，会被另一个AVP重启；如果是以SYSTEM账号运行的进
程，会被services.exe启动
注<4>:我在测试KIS7.0版本时，发现以PROCESS_DUP_HANDLE | PROCESS_QUERY_INFORMATION |
PROCESS_VM_READ可以打开句柄，而KIS8.0进程只能以PROCESS_QUERY_INFORMATION打开。

测试时，请注意卡巴版本，不是所有版本都存在这样方式来终止

ghj89100062

卡巴已经将其加入病毒库
Trojan.Win32.KillAV.ub

whywhyabcd

原帖由 ghj89100062 于 2008-7-4 20:08 发表
卡巴已经将其加入病毒库
Trojan.Win32.KillAV.ub

卡巴还真“高级”，滥用杀毒权！

wei023cn

谁向官方反映反映

zwl2828

找人向官方反映！

nanshanyue

希望早点解决掉

zwl2828

准备测试429版本。

ㄚ一

根本就是個無用的東西，無法結速服務，殺了ui能做什麼？

cgk508

留下足迹

nevergone

原帖由 ㄚ一 于 2008-7-8 16:20 发表
根本就是個無用的東西，無法結速服務，殺了ui能做什麼？

AVP进程守护功能<3>在此不起作
用
也就是说，在这里服务不会启动UI