保护咖啡进程不被结束的一个方法

iszeds

在此之间,先来个熊猫烧香的部分介绍:

病毒尝试关闭安全软件相关窗口：
天网
防火墙
进程
VirusScan
NOD32
网镖
杀毒
毒霸
瑞星
江民
黄山IE
超级兔子
优化大师
木马清道夫
木馬清道夫
QQ病毒
注册表编辑器
系统配置实用程序
卡巴斯基反病毒
Symantec AntiVirus
Duba
Windows 任务管理器
esteem procs
绿鹰PC
密码防盗
噬菌体
木马辅助查找器
System Safety Monitor
Wrapped gift Killer
Winsock Expert
游戏木马检测大师
超级巡警
msctls_statusbar32
pjf(ustc)
IceSword

尝试结束安全软件相关进程以及Viking病毒进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

杀软自身的保护无疑是很重要的...
而咖啡的进程当中 Mcshield.exe 是核心进程,只要这个进程不肥结束,就按访问扫描和文件访问规则都有效.
所以必须保护Mcshield.exe这个进程不被结束,咖啡虽然有自我保护,但那个保护并不够强...

从病毒的结束过程来看,应该是先通过搜索运行的窗口的标题来判断杀软,进而结束窗口...咖啡的Mcshield.exe进程是以服务启动的,没有界面窗口,所以这个不需要防范,直接跳过..
然后病毒会搜索进程名,这个时候咖啡的Mcshield.exe进程就容易被干掉了....

这里可以使用ssm等带AD功能的hips保护咖啡,不过麻烦了点...
想了个办法,就是改变咖啡Mcshield.exe进程的名字,病毒就无法发现这个进程,自然就不会结束了...

进程名是由文件名决定的,所以开始动手:
关闭咖啡的所有服务,进程...
打开安装咖啡的文件夹,找到Mcshield.exe,改个名字,这里假设改成123456.exe
打开注册表,搜索Mcshield.exe,把搜索到的全部改成123456.exe(保证服务启动的时候能找到文件)
OK,重新启动计算机,你查看进程,发现Mcshield.exe进程已经没有了,而咖啡正在工作..

我测试了下,基本没啥大问题,因为咖啡的其他进程基本不需要和 Mcshield.exe这个进程通讯.....不过有待大家进一步发现问题
(有个小问题:任务管理器里面,手动结束123456.exe时,进程没有被结束,但咖啡并没有提示有进程尝试关闭咖啡 ..-----不过这个问题好像不大)
原创的,斑斑加点分

jpzy

汗～～这样也行？？

peacekeeper

很有创意！不过貌似有点危险哦，我个人觉得还是借助第三方的hips保护进程比较安全

iszeds

原帖由 <i>peacekeeper</i> 于 2007-1-25 16:26 发表<br />
很有创意！不过貌似有点危险哦，我个人觉得还是借助第三方的hips保护进程比较安全

<br />
我也想了好久...因为改了进程名了,可能导致其他进程向Mcshield.exe发送信息的时候出现错误
不过好像基本上是Mcshield.exe向其他进程发送信息,比如shstat.exe,而其他进程似乎没有向Mcshield.exe发送什么信息
所以应该没什么问题..

zxc789

和楼主握手哇～～

我也试过把mcshield.exe改成kafei.exe～～还是不行～～病毒好像会搜索你注册表的mcshield服务～～停止你的mcshield服务～～你的mcshield进程同样就被禁止了～～后来我把注册表里面mcshield服务名也改成kafei～～发现无法启动kafei.exe～～只好作罢～～现在是用ssm保护咖啡的mcshield进程～～访问保护里面的服务保护选择也勾起（ssm只能保护进程本身～但是如果mcshield服务被停止的话～～进程也相当于被终止了～）～～

iszeds

原帖由 zxc789 于 2007-1-25 17:20 发表
和楼主握手哇～～

我也试过把mcshield.exe改成kafei.exe～～还是不行～～病毒好像会搜索你注册表的mcshield服务～～停止你的mcshield服务～～你的mcshield进程同样就被禁止了～～后来我把注册表里面mcshiel ...

我再多测试下..

iszeds

刚下了几个熊猫样本,测试了下,(未在咖啡的机器上测试),环境是ProcessMonitor监控+3d hips监控
没有发现病毒有查询安全软件注册表项值的动作.
病毒应该不会通过罗列服务,来查找是否存在需要关闭的进程吧.这样多累啊
直接罗列当前窗口的标题和当前进程名,要简单的多,也很有效果
这种方法应该没问题

lyfwz

除了名字还有好多识别信息呢，就象一个人，除了名字还有好多属性，比如身份证号码，信用记录，人事档案，户口，身高，体重，行为习惯，口音。。。

这就是好多通缉犯虽然隐姓埋名依然会被抓获的原因

zxc789

你看别人对熊猫的分析～～都是既杀进程又停服务的～～而且把安全软件的注册表服务值（像企业咖啡的三个服务键）删个精光～～还要删安全软件的启动值（像企业咖啡的shstat.exe～）～～总之是彻底三光政策～～

iszeds

原帖由 zxc789 于 2007-1-25 19:18 发表
你看别人对熊猫的分析～～都是既杀进程又停服务的～～而且把安全软件的注册表服务值（像企业咖啡的三个服务键）删个精光～～还要删安全软件的启动值（像企业咖啡的shstat.exe～）～～总之是彻底三光政策～～

这些动作都是有顺序的.
首先检查当前窗口的标题...这里跳过,反正咖啡主进程没有窗口
然后关进程,再删注册表服务,这里肯定要符合这个顺序,不然要么改动注册表会被杀软发现,要么象咖啡一样,直接禁止掉..
关进程的时候失败了,咖啡就会保护自己的注册表项,这个时候咖啡已经再红图标,告诉你了...
另外,shstat被结束了,图标就没了,但保护没有禁止,只是触犯规则不能即时通知你而已
(PS:要是聪明的话,根本不去结束shstat,让你以为咖啡还再运行)

to lufwz:
要彻底的隐藏咖啡肯定不可能撒,但病毒不会彻底的去查找每一个市面上存在的杀软的信息..
想想.这么多杀软,每个杀软的主程序名,路径,注册表项,都放到病毒体里面,文件无疑增大....