查看: 3135|回复: 4
收起左侧

[转帖] 对"ESET NOD4.0自我保护测试"一文补充测试

[复制链接]
xc3000
头像被屏蔽
发表于 2008-11-30 19:41:56 | 显示全部楼层 |阅读模式
前面一文:http://bbs.kafan.cn/thread-372937-1-1.html,我们通过各种工具对NOD32 4.0的进程进行了全面测试,效果还算让人乐观,不过要知道,病毒对付杀毒软件的方法不止结束进程那么简单哦,比如还有以假乱真的映象劫持,破坏目录内部等方法,下面让我们再来测试下
本文来源:www.killdu.cn
首先打开我们写的小工具:关机映象劫持,下载:http://www.killdu.cn/fuzhugongju/20080404/199.html
下面说说该小工具的原理:先在文本框里输入要劫持的杀软进程名,点击确定后工具开始监测.因为电脑关机或重启时会对杀软发出消息,有些杀软开机比较强先,关机时关闭自身也很迅速,因此本工具就有了可乘之机即在关机时杀软进程结束的那一刻对其进行映象劫持.劫持为该工具本身.这样当再次开机后杀软进程自然无法运行了!
这里我们输入NOD32的两个进程名字


OK现在重起电脑,当机器启动完毕后系统中的ESS的进程已经不能启动了,取而代之的是本工具的运行,注册表相应位置也被更改




而且当我删除这两个劫持项时,ESS的软件仍然无法打开,仅仅显示一个启动画面后就提示出错,这里需要重起机器才能完全恢复






劫持关:未通过
第二关:通过在ESS4.0 安装目录下新建一个名字为WS2_32.DLL的文件夹来破坏杀软启动

至于这个WS2_32.DLL文件夹原理可以参考:http://www.killdu.cn/shadujiqiaojijin/20080725/1107.html
用自己编写的简陋工具,选择ESS安装目录,然后点击阻止,就会在该目录下生成一个名字为WS2_32.DLL的文件夹





这里在ESS打开,监控全开情况下成功生成文件夹
   



现在完全退出ESS软件或重启系统后,再次打开ESS软件会卡死在启动画面




卡死的时间视机器的配置而定,但不管多久,最后都会提示错误,杀毒软件也是打不开了



内部强度:弱
读后评: 之前看进程保护还觉得ESS比较强悍了,不过病毒对付杀软的方法很多,文中介绍的算是比较普遍简单但威力不小的了,希望在正式版中能加强自身保护能力
原文链接:http://www.killdu.cn/gongjupingyi/20081125/1818.html

[ 本帖最后由 xc3000 于 2008-11-30 19:43 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lingbo110120
发表于 2008-11-30 23:32:35 | 显示全部楼层
非常以及极其讨厌 新手无毒....
renhaifeng
发表于 2008-12-1 00:23:19 | 显示全部楼层
我用COMODO把NOD32的两个进程保护起来了
sexing
发表于 2008-12-3 00:30:19 | 显示全部楼层

回复 2楼 lingbo110120 的帖子

看不太懂你说的话
真诚走天涯
发表于 2009-1-2 10:40:37 | 显示全部楼层
你可以搜索 xinshouwudu 这个词来看下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-23 12:03 , Processed in 0.132214 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表