金山毒霸进程自我保护防御缺陷第2季(测试程序已上传）

显示全部楼层 · 发表于 2010-12-5 13:48:36

本帖最后由 liangfangCN 于 2010-12-5 19:00 编辑

第一季帖子：http://bbs.kafan.cn/thread-855872-1-1.html
第2季和第1季原理完全不一样。顺便纠正下第一季.（那个只能关闭毒霸托盘EXE,由于其他进程没窗口句柄的问题）
第2季就厉害了 ,ring3 突破金山所有进程保护

这只是Ring3下的...
顺便提几个建议...（没驱动防火墙等于没自我保护..)
建议毒霸或卫士增加驱动防火墙（不是卫士那种监视注册表的啊,那种不能拦截驱动加载的）
建议 HOOK MmLoadSystemImage 实现驱动加载拦截

----->

(仅限于毒霸2011,毒霸技术预览版无效）

显示全部楼层 · 发表于 2010-12-5 13:52:41

金山毒霸的自保··························

显示全部楼层 · 发表于 2010-12-5 13:57:23

SP5据说会有全新自保哦

显示全部楼层 · 发表于 2010-12-5 13:57:35

还是有小孩这样的持续跟进金山的自保才有进步不然。。。

显示全部楼层 · 发表于 2010-12-5 13:59:05

毒霸自保确实还需要改善。
但是考虑一个问题就是，如果在你的程序加驱之前毒霸监控就将其判为病毒拦截的话，还有这样的问题吗？
如果增加驱动防火墙，是否会造成兼容性与稳定性降低呢？

显示全部楼层 · 发表于 2010-12-5 13:59:31

很好的测试

显示全部楼层 · 发表于 2010-12-5 14:16:30

本帖最后由 liangfangCN 于 2010-12-5 14:17 编辑

回复 5楼明镜星空的帖子

我现在发的都是没加驱D... 如果在进程运行之前就报毒那当然没这样的问题啦,但新病毒毒霸特征码肯定不杀,就算云第一时间拦截到用户还是要升级病毒库,虽说有云监控,但云监控是进程运行后才判断的,有时间差, 到时候毒霸已经挂了。（只能说云可以快速的发现新病毒,让中这种新病毒的用户更少）
如果增加驱动防火墙，是否会造成兼容性与稳定性降低呢？
是有些影响但是你可以做个判断啊, 在开启驱动防火墙之前,检测有没有别的软件已经HOOK。
假设某杀软和金山卫士拦截驱动都是这个原理金山卫士的驱动防火墙就可以不用开启

稳定性..应该没问题吧,那就是写代码的问题了

显示全部楼层 · 发表于 2010-12-5 14:18:56

回复 3楼 7奇天大圣7 的帖子

谁说的？

显示全部楼层 · 发表于 2010-12-5 14:21:27

回复 7楼 liangfangCN 的帖子

说的也对。
下一季是不是突破云安全

显示全部楼层 · 发表于 2010-12-5 14:37:02

本帖最后由 zuo 于 2010-12-5 14:37 编辑

坐等程序公布，毒霸的自保确实不怎么样，连R3下都能突破

，希望以后能改进

[金山] 金山毒霸进程自我保护防御缺陷第2季(测试程序已上传）

本帖子中包含更多资源

评分