查看: 8035|回复: 35
收起左侧

[讨论] 关于阻止ARK工具的运行..

[复制链接]
lifetouch
发表于 2009-5-16 06:56:29 | 显示全部楼层 |阅读模式
讨论一下,xuetr ; icesword ; wsyscheck三个用得比较多的工具,怎样才能阻止它们运行!

首先是xuetr

1.jpg
在网维大师的驱动防火墙里,不堪一击,全被拦截了下来,运行后全部空白一遍,所有功能都不起作用!


wsyscheck更脆弱,直接把C:\Docume~1\*\*\temp加个拒绝的权限,就运行不起来了。
2.jpg 3.jpg
反而在驱动防火墙里,虽然被拒绝加载了驱动文件,但能打开,大部份功能都可以正常使用!




icesword没有截图,因为树大招风,我是在网吧的机器测试的.几年前就直接被PUBWIN搞掉了,运行不起来.
退出pubwin.在驱动防火墙也是提示“程序加载失败”就被关掉了,创建的驱动文件被拦了下来。





在家庭电脑里,XUETR是不可思议的强大.用filemon居然没监控到创建驱动文件!常用的ARK工具都没法结束它的进程,包括用它自己。
wsyscheck因为加了拒绝权限就运行不起来了,无语..
icesword用起来的确不差,很可惜作者过早停止开发,功能不算简便丰富.而且很多病毒也能逃过检测!

运行在RING0级别的软件,都是在抢优先权来拦截其它运行在RING0的软件,谁先抢到谁就是胜者.
觉得很遗憾的就是开发ARK工具的作者,都是在某种程度上就停止开发了,而病毒却无时无刻都在更新!

[ 本帖最后由 lifetouch 于 2009-5-16 07:01 编辑 ]
evilrabbit
发表于 2009-5-16 07:00:04 | 显示全部楼层
别试了,你的那个驱动防火墙 所有的驱动貌似都是禁止加载的,我想问下,那样用软件累不累啊。
lifetouch
 楼主| 发表于 2009-5-16 07:03:31 | 显示全部楼层
因为ark工具都是随机名字加载驱动文件,如果不这样做,根本就防不了,病毒也是随机名字加载的!
evilrabbit
发表于 2009-5-16 07:09:01 | 显示全部楼层

回复 3楼 lifetouch 的帖子

防止了病毒的同时,也防止了软件的正常使用,这样的驱动防火墙未免设计的太简单了吧。
你想下所有的驱动就禁止安装了。不过这个程序的自我保护确实很脆弱,你可以自己测试下。
再拿古老的apt spt等其他一些结束进程的测试工具测试,很容易干掉它。
光靠阻止加载驱动就可以防病毒干一些坏事,想得太简单了,现在都有无驱ring3下粉碎ring0的工具了。。

再补充下,ring3下不加驱动也可以干一些很猥琐的事情。

[ 本帖最后由 wolfwalk888 于 2009-5-16 07:18 编辑 ]
evilrabbit
发表于 2009-5-16 07:12:40 | 显示全部楼层
http://bbs.pediy.com/showthread.php?t=53597
看下ring3无驱进ring0的方法吧。
lifetouch
 楼主| 发表于 2009-5-16 07:26:25 | 显示全部楼层
如果是用MD5、哈希值来禁止运行呢??

攻与防都是相对的,只看谁用的方法更巧妙!
XMatence
发表于 2009-5-16 07:40:38 | 显示全部楼层
它在ark之前就禁止了驱动,他已经在ring0禁止驱动了,ark还有什么用?
林吉茄文
发表于 2009-5-16 09:33:45 | 显示全部楼层
还不如用咖啡杀软的规则方便.还要装多个东西麻烦.
lifetouch
 楼主| 发表于 2009-5-16 09:55:14 | 显示全部楼层
ring0的病毒不也是这样么?
lixiang1977
头像被屏蔽
发表于 2009-5-16 10:35:37 | 显示全部楼层
直接禁止所有程序运行效果不是更好?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 15:02 , Processed in 0.134516 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表