xuetr试了下毒霸预览版

显示全部楼层 · 发表于 2010-9-10 23:59:47

本帖最后由尝微于 2010.9.11 00:08 编辑

ssdt全线飘红，虽然我不知道红和不红的有什么区别。。。。。。。。。。。。。。。。。轻松结束了毒霸，毒霸一点反应都不给我啊。有没有ssdt不红的？有没扛得住xuetr的或是有点提示的？

显示全部楼层 · 发表于 2010-9-11 00:03:39

本帖最后由 ssama 于 2010.9.11 00:04 编辑

杀软不链接SSDT...?

显示全部楼层 · 发表于 2010-9-11 00:04:45

本帖最后由星河梦于 2010.9.11 08:29 编辑

1.是XueTr（写错了）
2.MSE不红，貌似挂ring0的红，ring3的不红（不是很清楚地说，等高手）
3.毒霸不拦正常的ark工具对其进程的结束，貌似360安全卫士能拦（没测过）（PS：刚刚测了一下，新版不拦截了）

显示全部楼层 · 发表于 2010-9-11 00:06:59

回复 3楼 星河梦 的帖子

3,360能拦就奇怪了

除了大蜘蛛，和微点，，还没有顶得住XT的:)
[:27:]

不过我还见过更狠的~~~
就是国内区的小孩杀毒玩具~~能结束大蜘蛛，，不能结束微点，，小孩本人说，改一下就可以kill之

显示全部楼层 · 发表于 2010-9-11 00:23:23

360默认阻止XueTr 加驱。既然用户同意加驱，那就是处在ring0了。可以结束也正常。
想要对抗XueTr肯定可以做到。不过兼容性和稳定性可能会降低。

显示全部楼层 · 发表于 2010-9-11 00:24:51

360好像原来是可以抗住xt普通结束的，不过360卫士对加驱后的进程强度没有过多下功夫，另外360ws用xt没看见有ssdt或者shadow ssdt，不知道是xt看不见还是真的没有。。。

另外。。lz这种测试基本上没有意义，因为加载了驱动之后按照mj的说法那就是“无所不能”

显示全部楼层 · 发表于 2010-9-11 00:29:16

红的表示该函数被ssdt hook了。
不要以为所有的杀软都hook ssdt，即使这是最常见的。
不要以为hook几个函数就能自保护，你连这个函数做什么的都不知道。
不要以为这个函数被HOOK了，别人就会过滤的十分完美。

不要拿ARK测试杀软的自保，人家不做防御的，你最好难个病毒来测试，有主动防御的杀软不会轻易让病毒驱动加载的。。。

显示全部楼层 · 发表于 2010-9-11 00:30:12

360好像原来是可以抗住xt普通结束的，不过360卫士对加驱后的进程强度没有过多下功夫，另外360ws用xt没看见有 ...
单身熟男发表于 2010.9.11 00:24

还是ssdt hook，藏的比较深而已

显示全部楼层 · 发表于 2010-9-11 00:31:47

2.MSE不红，貌似挂ring0的红，ring3的不红

星河梦发表于 2010.9.11 00:04

SSDT HOOK也是属于ring0，不过还有inline，object等hook方式

显示全部楼层 · 发表于 2010-9-11 01:24:52

回复 6楼 单身熟男 的帖子

水一下..你那样的签名会不会算做AD啊？不算我也弄

[讨论] xuetr试了下毒霸预览版

评分

浏览过的版块