用辛巴影子卫士2.2.9.504测试石头的Kill disk(有图有真相)

显示全部楼层 · 发表于 2009-4-17 15:16:22

本帖最后由 107 于 2010.9.4 20:08 编辑

测试环境：VMWare WinXP SP3
测试样本：石头的Kill disk(http://bbs.kafan.cn/viewthread.php?tid=462999&extra=&page=1)

1.下载安全最新版的辛巴影子卫士

2.安装完重启，选择系统保护模式

3.下载样本

4.准备Process Moniter看看这个Kill disk会做些什么

5.解压kill准备执行

7.很抱歉，执行后居然系统立刻重启，没来得及截图，早知道录像了，这是重启后的桌面，(可以看到桌面上后来添加的东西都已经还原了)
重启没有出现磁盘检查

8.重新补一张Kill的玉照，太逗了，不管是否破坏成功，它都会重启
这是后来我截的图

图片是按时间顺序排列的，可以看桌面的时间。

-------------------------------------------------------------------------------------------------------------------------
各位看官，不好意思！

第一次得出的结论不精确
偶在反复测试后发现一个情况：
如果kill.exe在影子模式作用后进入系统的，就无法穿透
而如果在影子模式作用前kill.exe就进入系统的话，会被穿透
等会儿上录像

[ 本帖最后由 simbatek 于 2009-4-17 16:25 编辑 ]

显示全部楼层 · 发表于 2009-4-17 15:24:24

图不一定是真相,见十几楼的，这个是旧版本

[ 本帖最后由银砾石于 2009-4-17 16:25 编辑 ]

显示全部楼层 · 发表于 2009-4-17 15:28:19

测了ps2008了没？

显示全部楼层 · 发表于 2009-4-17 15:30:27

http://bbs.kafan.cn/attachment.p ... 1c&t=1239953397

BIN贴的附件2

显示全部楼层 · 发表于 2009-4-17 15:30:45

楼主得贴一张无辛巴保护下kill.exe成功运行重启后的截图

显示全部楼层 · 发表于 2009-4-17 15:32:12

原帖由 银砾石 于 2009-4-17 15:24 发表
图不一定是真相

你用的是1.5.6的版本，1.5.6就没有防穿透功能，用这个版本测试有意义吗？
你用2.2.9测试看看啦，用你的录像机。

显示全部楼层 · 发表于 2009-4-17 15:34:20

要我给你做个录像吗，正版重启无事

显示全部楼层 · 发表于 2009-4-17 15:37:09

我觉得这四个影子，应该都穿不了

显示全部楼层 · 发表于 2009-4-17 15:37:46

可能是无效，，正常的

回楼主：抱歉，，稍等补上----下载中，，哎，干嘛要.NET呢，慢死了

[ 本帖最后由银砾石于 2009-4-17 15:40 编辑 ]

显示全部楼层 · 发表于 2009-4-17 15:43:22

原帖由 银砾石 于 2009-4-17 15:37 发表
可能是无效，，正常的

回楼主：抱歉，，稍等补上----下载中，，哎，干嘛要.NET呢，慢死了

呵呵。我做2.0在驱动上花的时间比较多，在应用层为了节省时间。
.net的缺点就是启动速度慢

[分享] 用辛巴影子卫士2.2.9.504测试石头的Kill disk(有图有真相)

回复 2楼银砾石的帖子

回复 4楼银砾石的帖子

回复 7楼 fufuji97 的帖子

[分享] 用辛巴影子卫士2.2.9.504测试石头的Kill disk(有图有真相)

回复 2楼 银砾石 的帖子

回复 4楼 银砾石 的帖子

回复 7楼 fufuji97 的帖子

回复 2楼银砾石的帖子

回复 4楼银砾石的帖子