楼主: lifetouch
收起左侧

[讨论] 关于阻止ARK工具的运行..

[复制链接]
dl123100
发表于 2009-5-16 11:01:24 | 显示全部楼层
XueTr这类ark加载驱动用的是很常规的方法,被驱动防火墙拦下没什么可奇怪的,没必要用非常规的方法加驱。
驱动防火墙没什么意思,就算不设白名单,全局阻止,还一样被机器狗穿透。

病毒不太可能像驱动防火墙那样阻止所有第三方驱动加载,最多根据特征拦截。
我一般不担心ark被病毒屏蔽,像磁碟机、hbkernel这些屏蔽IS的,改几个特征IS都能正常工作了。
evilrabbit
发表于 2009-5-16 11:42:14 | 显示全部楼层

回复 6楼 lifetouch 的帖子

md5防吗?有意思,随便改下程序,就可以改变程序的md5。
md5拦截ark,靠不住。
evilrabbit
发表于 2009-5-16 11:44:06 | 显示全部楼层

回复 7楼 vistabull 的帖子

不加驱动就进不了ring0了 。。。
我无语了。
evilrabbit
发表于 2009-5-16 11:44:54 | 显示全部楼层

回复 9楼 lifetouch 的帖子

不明白ring0下的病毒是啥样子的。。。
evilrabbit
发表于 2009-5-16 12:16:24 | 显示全部楼层
不过防ark运行,这个方法确实变态。全部禁止加载驱动了。
和陈辉大侠以前聊过,他说一些病毒要想限制天琊运行,要不就是直接阻止启动加驱。。
germany05400
发表于 2009-5-16 21:26:53 | 显示全部楼层

回复 2楼 wolfwalk888 的帖子

累才好玩嘛!
bluelan
发表于 2009-5-16 23:42:13 | 显示全部楼层
我用HIPS软件后,啥软件都可以防,如用SSM+EQ的FD,都锁上,没经允许的都运行不了
MagicFuzzX
发表于 2009-5-17 00:04:44 | 显示全部楼层
原帖由 wolfwalk888 于 2009-5-16 07:12 发表
http://bbs.pediy.com/showthread.php?t=53597
看下ring3无驱进ring0的方法吧。



这个太火星了吧

拦截驱动很正常,毕竟正规软件加载驱动的方法是很常见,拦截起来很简单的

问题是病毒的驱动,加载手段很是。。。,呵呵
tawny2008
发表于 2009-5-17 00:34:21 | 显示全部楼层

回复 18楼 smilediy 的帖子

有牛人说狙剑的主动防御就很猥琐
lifetouch
 楼主| 发表于 2009-5-17 01:41:08 | 显示全部楼层
我用过SSM,被病毒搞定了,用EQ加NOD32,也被搞定了!
病毒发作很明显,就是只允许运行系统,其它所有程序都双击就没反应了,也没进程!冰刃和WSYSCHECK也一样是双击没反应,那时候还没有XUETR..
后来因为没办法打开任何工具,只能重装系统解决!

攻和防同时存在,冰刃现在都几乎被病毒无视了.我认为只要一个软件出名了,就会招惹更多的人去研究它..那它的升级才是技术的进步所在.可惜作者都消失了...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:32 , Processed in 0.095576 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表