Test For Kis8——绕过卡巴2009的测试

显示全部楼层 · 发表于 2008-9-27 21:32:59

是不是你设置了注册表权限？
或者按F5刷新一下看看

显示全部楼层 · 发表于 2008-9-27 21:34:47

呵呵
我的测试环境
xp2无补丁+eq保护全关+sandboxie没开+jpf程序过滤门户大开
另外也是看你那个帖子
确实卡8还是能够识别来路的，但报得有问题

显示全部楼层 · 发表于 2008-9-27 21:36:37

嘻嘻，没有刷新才冏

显示全部楼层 · 发表于 2008-9-27 21:40:48

提示如此，实际上你的程序根本就没成功调用REG，但是却显示成功。是不是出现这个就意味着已经添加？

显示全部楼层 · 发表于 2008-9-27 21:42:46

Test3就是要让卡巴错误识别来路啊
而且在我这里测试是可以成功骗过卡巴

附件是录像

[ 本帖最后由 rappar 于 2008-9-27 22:03 编辑 ]

显示全部楼层 · 发表于 2008-9-27 21:48:30

2008-9-27 20:52:07 拒绝: KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLWindowsShutDown ByPassKIS8 关闭 Windows KLPrivileges/KLPermissionSystem/KLPermissionStrange/KLWindowsShutDown
明明是ByPassKIS8调用Windows Remote Shutdown Tool关机
这个日志却直接记录ByPassKIS8关机
如果都这样报就好了
一个程序不管绕了多少弯但还是它修改了注册表，要关机
简单明了

显示全部楼层 · 发表于 2008-9-27 21:49:17

不是，出现这个只是意味着运行Reg程序成功

或者单独试试这个

显示全部楼层 · 发表于 2008-9-27 21:52:53

允许调用

2008-9-27 JAY21:48:39 Modification hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe Denied: KLSystemData/KLStartupRegKeys/ImageFileExecutionOptions

显示全部楼层 · 发表于 2008-9-27 21:53:12

你是低受限自动模式？

显示全部楼层 · 发表于 2008-9-27 21:54:37

有提示无法获得句柄吗？

Test For Kis8——绕过卡巴2009的测试

回复 39楼 wangjay1980 的帖子

回复 40楼 rappar 的帖子

回复 41楼 rappar 的帖子

回复 44楼 wangjay1980 的帖子

回复 45楼 rappar 的帖子

回复 48楼 wangjay1980 的帖子