查看: 7807|回复: 46
收起左侧

[分享] 从服务中看杀软的自我保护

[复制链接]
ioufastany
发表于 2008-7-7 20:04:09 | 显示全部楼层 |阅读模式
下面以nod,小红伞 卡巴为例

测试方法:杀软的的某些进程是依赖服务启动的,在很多情况下,服务(服务依赖注册表)是病毒破坏杀软一种方法,在这里测试杀软对服务的依赖程度,和杀软的进程被结束掉之后,还能不能起到自我保护的作用。

第一,    nod32 3.61(官方原英文版)的自我保护
nod默认有两个服务,一个是手动一个是自动,其中自动启动的那个服务是nod的主服务。
图1,图2




Nod服务的默认恢复是重新启动服务看图3
图3



这时任务管理器中ekrn.exe进程结束后又会自动启动,就不截图了。

下面看我将nod第二次启动失败的恢复,改为不操作。
图4



这时再在任务管理器中结束掉ekrn.exe,
会看见又从新启动了,第二次再结束掉ekrn.exe,还会从新启动,第三次结束时,ekrn.exe却不会了~
只有一个egui.exe,看图5~



这时用nod的右键菜单扫描一个文件夹,弹出这样的对话框,看图6



这时nod右下角的图标仍然存在,到nod安装文件夹下,可以将nod文件删去一大半,还能新建文件,等等操作,看图7



对于egui.exe进程,一次结束后就不会再启动了。我不测了

第二,    看小红伞(官网原版)的自我保护。
小红伞默认有四个服务,
第一个是主服务,自动启动;第二个是邮件保护的服务(我没有装邮件保护,所以就自动禁用了);第三个是为邮件保护提供帮助的服务,自然也自动禁用了,第四个,计划服务,也就是自动更新,等等。看图8图9





看主服务的恢复,默认就是不操作。也就是说,主服务的启动失败后就操作了。看图10



下面从任务管理器中,结束红伞的主进程看看,图11



不能结束 图12







一下就结束掉了,而且右下角的图标变了,红伞收起了,并没有退出。图14,图15





这时看看红伞的扫描,仍然可以扫描,看图16



再到红伞的安装文件下,结果删除了一小部分文件,其中包括部分驱动等等,而且可以新建文件等等,看图17,图18,





第三,    看看卡巴(官网7.125简体中文原版)。
看服务中卡巴就只有一个服务,主进程avp,看图19,图20





卡巴默认的启动失败恢复,看图21


任务管理器中卡巴有两个avp进程,用户名为system的那个avp进程是依赖服务的进程。
从任务管理器中结束一下看看,不能结束掉,看图22,图23





下面用ssm结束这个avp看看,根本结束不掉,(从ssm的进程id和任务管理器的pid中,可以看出那个,avp进程依赖服务),但是每次都会弹出病毒库过期,要求更新(在测试之前,我更新过卡巴病毒库只是并没有完全更新完组件,)。看图24,图25





用ssm连续多次的结束这个进程,弹出过主动防御失败,但是继续结束又好了,
下面用冰刃来结束这个AVP进程
可以从进程pid中看出那个avp是依赖服务的。
冰刃第一次结束掉avp之后,又重新启动了,但是第二次结束掉后就没有重新启动。此时右下角卡巴图标也没了。看图26,图27






此时在看卡巴的安装文件,无论是删除还是新建文件都不行,看图28,图29





再用冰刃结束掉卡巴的一个进程之后,另外一个avp进程会取代原来依赖服务的那个avp进程,继续启动服务,可以看图,任务管理器中只有一个avp,用户名变成system了,此时服务也启动了,看ssm,冰刃,任务管理器,服务截图,图30




继续用冰刃把这个avp也结束掉
第一次结束掉,又重新启动了,第二次结束掉,就没了,
此时再看,卡巴的安装文件夹,仍然无法删除,创建文件。看图31,.图32.




最后关了冰刃,在ssm中发现卡巴又自动启动了,
我又打开冰刃来结束掉这个avp,已经结束不掉了,结束后就又立刻重新启动,而且服务也启动了(不截图了)。此时卡巴,服务中的恢复,仍然没变。图33



总结:结果很明白~,nod的自我保护就是糊弄消费者,红伞说的过去,卡巴自己心里有数吧。
syfwxmh
发表于 2008-7-7 20:16:05 | 显示全部楼层
LZ这个测试方法很独特~~而且截图非常到位~~支持一下~~
PlayWill
发表于 2008-7-7 20:18:32 | 显示全部楼层
恩·
很独特····
支持一下
taihuxian
发表于 2008-7-7 20:20:01 | 显示全部楼层
卡巴的自我保护一直不错
yu88480
发表于 2008-7-7 20:23:18 | 显示全部楼层
贴图辛苦,要支持下!
Tynox
发表于 2008-7-7 20:28:57 | 显示全部楼层
卡巴的自我保护能力好强!
雨宫优子
发表于 2008-7-7 20:48:33 | 显示全部楼层
的确哦
即使使用了保护工作文件和保护设置文件
红伞主进程被结束后还是有很多文件被删除了

[ 本帖最后由 aarwwefdds 于 2008-7-7 21:01 编辑 ]
dd2006
发表于 2008-7-7 21:15:04 | 显示全部楼层
这个测试不错
雨宫优子
发表于 2008-7-7 21:16:12 | 显示全部楼层
用NTFS可以限制不?
xiaochi1
发表于 2008-7-7 21:30:01 | 显示全部楼层
写得好,图好多,版主们加加分
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 12:29 , Processed in 0.132280 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表