|
|
前面一文:http://bbs.kafan.cn/thread-372937-1-1.html,我们通过各种工具对NOD32 4.0的进程进行了全面测试,效果还算让人乐观,不过要知道,病毒对付杀毒软件的方法不止结束进程那么简单哦,比如还有以假乱真的映象劫持,破坏目录内部等方法,下面让我们再来测试下
首先打开我们写的小工具:关机映象劫持,下载:http://www.killdu.cn/fuzhugongju/20080404/199.html
下面说说该小工具的原理:先在文本框里输入要劫持的杀软进程名,点击确定后工具开始监测.因为电脑关机或重启时会对杀软发出消息,有些杀软开机比较强先,关机时关闭自身也很迅速,因此本工具就有了可乘之机即在关机时杀软进程结束的那一刻对其进行映象劫持.劫持为该工具本身.这样当再次开机后杀软进程自然无法运行了!
这里我们输入NOD32的两个进程名字
   1.jpg (14.58 KB)
2008-11-29 23:02
OK现在重起电脑,当机器启动完毕后系统中的ESS的进程已经不能启动了,取而代之的是本工具的运行,注册表相应位置也被更改
 2.jpg (33.32 KB)
2008-11-29 23:02
而且当我删除这两个劫持项时,ESS的软件仍然无法打开,仅仅显示一个启动画面后就提示出错,这里需要重起机器才能完全恢复
 3.jpg (8.13 KB)
2008-11-29 23:02
劫持关:未通过
第二关:通过在ESS4.0 安装目录下新建一个名字为WS2_32.DLL的文件夹来破坏杀软启动
至于这个WS2_32.DLL文件夹原理可以参考:http://www.killdu.cn/shadujiqiaojijin/20080725/1107.html
用自己编写的简陋工具,选择ESS安装目录,然后点击阻止,就会在该目录下生成一个名字为WS2_32.DLL的文件夹
 4.jpg (7.9 KB)
2008-11-29 23:02
这里在ESS打开,监控全开情况下成功生成文件夹
 5.jpg (48.93 KB)
2008-11-29 23:02
现在完全退出ESS软件或重启系统后,再次打开ESS软件会卡死在启动画面
 6.jpg (18.82 KB)
2008-11-29 23:02
卡死的时间视机器的配置而定,但不管多久,最后都会提示错误,杀毒软件也是打不开了
内部强度:弱
读后评: 之前看进程保护还觉得ESS比较强悍了,不过病毒对付杀软的方法很多,文中介绍的算是比较普遍简单但威力不小的了,希望在正式版中能加强自身保护能力
原文链接:http://www.killdu.cn/gongjupingyi/20081125/1818.html
[ 本帖最后由 xc3000 于 2008-11-29 23:20 编辑 ] |
|
发表于 2008-11-29 23:06:32
发表于 2008-11-30 15:20:44
