有RING0权限的安全软件有哪些？

liningaigo

如题。国内我知道有江民、微点。国外呢？

lsgster

........

jingyanglf

lsgster 发表于 2010-12-5 09:10
........

这样算不算纯表？

72380656

应该没有，你说的江民之类不是

ziucqea

回复 1楼 liningaigo 的帖子

你确定江民，微点是RING0么……只知道诺顿是RING0

liningaigo

一、收拾瑞星2009

       打开冰刃，发现它的自我保护就是在SSDT上挂钩用来打开、结束、挂起进程和线程的Native API，还挂了"NtAssignProcessToJobObject"，想利用作业对象大法间接调用PspTerminateProcess结束进程的想法落空了，但是没有在意是否有挂钩"NtDuplicateObject"。不过我听别人说，很多时候杀软挂钩了"NtDuplicateObject"也是白搭。
    看到这里，我拿出一个在驱动里调用"NtOpenProcess"和"NtTerminateProcess"的程序，秒杀了瑞星的进程，因为在驱动中调用这两个函数不会经过SSDT。但是在加载驱动时，瑞星的主动防御会有提示。
    可惜，瑞星2009的驱动防御并非滴水不漏。在2009年5月的《黑客防线》中就提到了一个绕过瑞星2009驱动监控加载驱动的办法。瑞星会在毫无声息中死去了（我没有测试，只是看那个作者那么说）。
    其实，杀死瑞星还有许多投机取巧的办法，这里就不说了，免得挨整。
    我再次提醒各大杀毒软件厂商，请不要在SSDT上挂钩函数来保护自己，没有什么鸟用的。马克思告诉我，看问题要看本质。从本质上说，进程终结的本质是进程的线程被全部终结，线程终结的本质是被插入了APC。所以，挂钩KiInsertQueueApc是最好的选择。当然，DKOM也可以。其它的手段，比如擦掉自己在Csrss中的句柄，挂钩ObpCreateHandle，没有漏洞的驱动防火墙，也是必须的。

    再次恶整瑞星

    在我收拾过的杀毒软件里，瑞星2009的主动防御还是比较出色的。虽然杀死瑞星的进程很简单，但是都会触发瑞星的主动防御。这让我十分不爽，于是我决定在不触发瑞星主动防御的前提下，再整治瑞星一次。
    首先我把我从VBGOOD上学来的RING3杀进程六大恶心方法全部尝试了一次，结果如下：
关联作业对象：失败
调试活动进程：失败
内存填中断：失败
卸载NTDLL：失败
建立远程线程：失败
向所有线程发送退出消息：失败

    呵呵，不失败就奇怪了，因为瑞星早就在SSDT上把相应的原生API给挂钩了。想用“EXE注入”的方法启动一个瑞星信任傀儡进程来加载驱动，又失败了。
    莫非真的没有办法了？我想起“民间数学家”还教过我一个SetParent的方法干掉窗体，赶紧拿出来尝试，托盘图标消失了！重新启动窗体后，用 WndSpy来查看窗体，竟然能够得到窗体的句柄，尝试发送WM_CLOSE，成功！事后拿出陈辉的工具查看SSDT Shadow，发现瑞星的驱动没有挂钩SSDT Shadow表上相应的函数。看来，瑞星的保护不太到家啊！
    其实瑞星防杀只是停留在Ring 3下的，一旦病毒进了Ring 0，就是在驱动中用最简单的NtOpenProcess + NtTerminateProcess都可以杀死，因为在驱动中调用NT系列函数是不经过SSDT的。

二、恶整“360安全卫士”

    且不说随便用PspTerminateProcess就能要了360的狗命，其实要阻止它启动，也是极其容易的：搞个“win95 兼容性设置”就可以了。--微点已解决此问题

三、搞残KV2009   

      早就听说KV2009很难杀，于是特地下载了一个来测试。 打开冰刃，察看SSDT，发现没有红色！又打开RkU，发现了几个钩子，但是没有显示出函数名。后来听高人说，KV2009挂钩了几个很底层的函数，分别是：ObOpenObjectByPointer、ObpCreateHandle、PspTerminateProcess、 KiInsertQueueApc。我一听，晕倒了。我处决进程的手段都被防了。
    但是我还是想到一个办法，可以用干掉KV2009的托盘图标。打开记事本，输入下列代码，并保存为kkv.bat。
assoc .kxp=kxpf
ftype kxpf=smss.exe
      重新启动后，KV2009的托盘图标就消失了。而且，KV2009的主动防御功能貌似也失效了。
    炉子[0GiNr]还有另外一种办法：先用NtDuplicateObject复制了江民监控进程的句柄，用内存清零的办法杀死江民监控进程。大约20秒后，江民2009的红色托盘图标就消失了。但是，炉子[0GiNr]的方法会在20秒内使电脑无响应，有头脑的人都知道自己中招了。
    如果你是个超级猛人，可以直接恢复江民的KiInsertQueueApc钩子，并在10毫秒内执行（江民会每隔10毫秒检测钩子是否被恢复，如果是，则又马上钩上）。
    从普通电脑使用者的角度上看，江民是最值得选择的杀毒软件，因为它实在是太难杀了。我向毛主席发誓，我不是在为江民卖广告，这是我的切身体会。这两个小漏洞，只要江民稍微挂一下钩子，就无法使用了。而且江民的主动防御不是在SSDT上拦截的（普通杀软都是在SSDT上拦截可疑操作，只要恢复SSDT，就可以绕过监控），我到现在也不清楚江民是怎样实现主动防御的。
    但是我作为编程爱好者，坚决不用江民杀毒软件，因为如果每次写杀进程的代码时，都发现杀不死江民，岂不是很郁闷？

四、四条CMD命令彻底干掉NOD32 3.0

      NOD32是我见过的最好欺负的杀毒软件，因为干掉它不仅不用编程，连“映像劫持”这种稍微高级的技术也不用。真是不知道它是怎样进入“世界杀软前十名”的。废话不说直接给出CMD代码。[NOD32的目录是C:\Program Files\ESET\ESET NOD32 Antivirus，测试版本是3.0.669。]

mkdir "C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe.manifest"
mkdir "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe.manifest"
tskill ekrn
tskill egui
觉得不保险的话，把最后两句重复100次。下次开机时，NOD32也无法启动了。

    唉，我也是用NOD32的，它的自我防护能力这么差劲，还是依靠我写的程序来保护它的安全吧！哪天写好了传上来，用“直接内核对象操作”的方法，把KTHREAD结构有关APC的部位全部改成“拒绝”，除了填零虚拟内存，什么东西都杀不死。

五、卡巴斯基2009自我防护测试

    卡巴斯基真不愧是“卡吧死机”，重启后电脑慢如老牛（Pentium 4 2.8GHz、1GB DDR、Windows XP-SP2）。不过电脑的安全性很高，启动我写的SSDT查看工具时，都会触发主动防御（提升权限）。KIS2009依然是在SSDT上保护自身，不过钩了很多函数，连NtDuplicateObject都没放过。看来，作业对象、调试进程、内存填中断等下三滥手段都失效了。后来我想利用傀儡进程的办法绕过主动防御，但还是不行。因为在启动时会触发主动防御。
    先不管这些，掏出PspTerminateProcess，杀死了两个AVP.EXE，谁知，瞬间死机了！再试一次，还是如此。看来，卡巴斯基2009的防护手段很萎缩啊，竟然更改了KPROCESS的BreakOnTermination位置。
    研究陷入了困境，虽然说可以把KPROCESS的BreakOnTermination位置改过来，但是肯定要加载驱动或者使用NtSystemDebugControl，所以放弃了。
    搞进程不行，就搞文件。用CMD在卡巴斯基的文件夹下新建一个“avp.exe.manifest”文件。重启后，卡巴斯基2009不再启动了。随后驱动删除文件，搞定。

六、收拾微点1.2
      微点是我最后要收拾的一个安全软件，因为我听说它“进化”到和江民一样难以收拾了。

    默认安装完微点，重启后，打开冰刃，查看SSDT，当即晕了：一片黑色！估计危险的函数都被Inline hook了。又打开RkU，查看钩子，发现EAT HOOK了不少函数，其中包括著名的KeInsertQueueApc。看来，我的工具是杀不死的。

    掏出狙剑，谁知根本无法运行（没有任何提示），拿出业界大牛陈辉的ARK天琊，竟然提示是“风险程序”！只好重新拿出RkU。使用“Force Kill + File Wipe”功能，谁知，惊人的一幕又发生了！

    杀完四个进程的三个，RkU竟然被关闭了！而且，再也无法运行了！一旦出现RkU，马上就会被删除。

    最后，只好卸载微点。我实在没有任何办法收拾它了。

    难道我真的没有办法收拾微点？我不信！这不可能！

    我把微点卸载干净后重新安装了一次，再次拿出RkU。

    先恢复了两个Io开头的钩子，又恢复了KeInsertQueueApc。

    然后强杀进程，但是仍然有一个进程杀不死。

    随后，我进入微点的文件夹，把所有EXE改了名，例如：mp3.fuck。

    重新启动后，微点也出不来了。

    要说的是，RkU强杀进程的方法是“虚拟内存地址填零”，在2009年的《黑客防线》上有代码。具体哪期忘了，反正是2月之后6月之前的。另外，我之所以能改文件名，估计就是因为恢复了两个Io开头的函数。这点，微点还是学得不到家。江民注册了DPC，一旦发现自己的钩子被恢复，马上又补钩上！（转载）

http://bbs.jiangmin.com/thread-552687-1-1.html

可能我理解错了。那如果病毒得到系统最高权限，安全软件是不是就歇菜了？

红魔

回复 6楼 liningaigo 的帖子

好几年前的东西了。。。
杀软基本都加驱进r0了。
不过病毒要也进了，那恐怕就没辙了。
所以要阻止他们进

tisyang

有ring0的不一定是好事情，会让系统不稳定。这年头，非常厉害的病毒少，重要的还是自己养成良好的PC使用习惯，学会分辨，比什么都强。