ESET Smart Security 4.2自我保护测试+killer

3x3eyes

惊闻ESET Smart Security加入了自我保护，测试之前发现做得还是比较不错的，至少已经远远超过了 空口吹大牛的号称 同类产品自保护最强 的金山2011全线产品，也超过了瑞星和江民（瑞星和江民两行最普通代码即可结束），以及小红伞（小红伞SPT FAIL一项）

目前NOD32过SPT全部项目，也过TESTRS\ENDTASK等基本测试工具

不过目前NOD32没有拦截驱动加载、KNOWNDLL、SYSDBGCTL等等，所以用内核态方法或者用猥琐注入还是可以轻易干掉NOD32的（这点上又比不上瑞星和江民了，但还是远远超过金山）


当然，如果是了解攻防的人来看，仅在非内核方式上，NOD32的自我防护 也还远称不上完美，这里我不需要用什么猥琐方法或者内核态方法，只需要3行代码，就可以让ESET轻易崩溃退出。


HANDLE hProc = OpenProcess(PROCESS_DUP_HANDLE , FALSE , pid);

for (ULONG i = 0 ; i < 0xffff; i += 4){DuplicateHandle(hProc , (HANDLE)i , 0 , 0 , 0 , 0 , DUPLICATE_CLOSE_SOURCE);}


附件中是测试工具，可以看到输入EKRN的PID后，该进程立即崩溃退出

注：对360安全卫士7.1正式版无效

dl123100

。。。。。
删除

3x3eyes

OpenProcess PROCESS_DUP_HANDLE这里确实不应该防，防了后进程会上不了网。

OpenProcess没做好的是瑞星和江民，Eset是duplicate没防好

IllusionWing

DUP之后弄啊。。 不刺激。

3x3eyes

DUP之后弄啊。。 不刺激。
IllusionWing 发表于 2010-5-27 20:21

    没有之后，DUP之后已然挂了。

dl123100

回复 3# 3x3eyes


        是我不行 谢谢回复指正
    想起了svchost有时会过来dup handle

IllusionWing

回复 5# 3x3eyes


    不还是系统内部机理的问题么。。你程序是不干事情了，ESS在用HANDLE的时候就爆掉了，如果ESS不用系统句柄表那就有趣了。

3x3eyes

回复  3x3eyes


    不还是系统内部机理的问题么。。你程序是不干事情了，ESS在用HANDLE的时候就爆掉了 ...
IllusionWing 发表于 2010-5-27 20:25

    笑笑飘过。

chabosh

貌似前几天微软说过一个什么表，很多杀软都可轻易干掉。貌似只有MSE不受哪个表的影响

3x3eyes

貌似前几天微软说过一个什么表，很多杀软都可轻易干掉。貌似只有MSE不受哪个表的影响
chabosh 发表于 2010-5-27 21:00

    那个是影响主防和自保的，MSE一没自保二没主防就是个摆设，当然不受影响，根本不需要受影响。