卫士自保比杀毒差

FXONLINE

路过...话说总有那么几个强悍的软件能干掉安全软件，见怪不怪

你想怎样

引用大牛的解释:  http://bbs.kafan.cn/thread-893841-7-1.html     67楼

"没什么必要，以前为了好玩做了抗冰刃的拦截，要拦截xuetr也是很简单的"

fweiger

回复 37楼 leisong 的帖子

    在BBT群了fish让我用xt结束微点，我想都没想，加载xt之后，直接恢复ssdt （清除暗地里的敌人）然后k微点，一点反应都没有。一鼓作气，把微点的驱动服务进程...全部干掉！这个思路并不复杂！    我们完全可以把微点的进程理解为指挥部，我干嘛非要一进城就攻占指挥部呢？ 也许只会是两败俱伤！ 占领城池，然后往内清除障碍 等等，干掉指挥部与奇兵的联络点（ssdt等等），进攻指挥部！
    那么，病毒完全可以在加载完驱动后 先进行几个恢复ssdt的操作，然后再kill进程！

junyangxie

z13667152750 发表于 2011-1-21 08:13
回复 37楼 leisong 的帖子

你说的是微点不会直接拦截加驱吧？

每台电脑里面都有大量的驱动文件（好像微点安装完后就会释放10多个驱动文件），但是用户真正遇到恶意的驱动文件情况比较少

在这种情况，做驱动拦截功能简单，但是要做到该拦的拦截，不该拦的自动放过就不是那么简单。

如果用户加载声卡、显卡、网卡，安装一款正常的安全软件都拦截，那么拦截和不拦截对用户来讲是没有区别的。

Hank↗

看看
加了驱动的东西连微软也扛不住吧。。。

小紫英

如果XT写的够稳定，加驱情况下市面上任何产品自保都能过，摘钩子，摘驱动，改系统回调，可惜了，这玩意老是蓝……

毛豆和微点的伪技术流以为抗住killprocess就是自保强大了……真搞笑

gogo8989

junyangxie 发表于 2011-1-21 09:39
每台电脑里面都有大量的驱动文件（好像微点安装完后就会释放10多个驱动文件），但是用户真正遇到恶意的驱 ...

这其实没啥技术 ，要达到你说的超级简单 白名单 即可。放与不放只看收的白名单多与少来决定

junyangxie

gogo8989 发表于 2011-1-21 12:01
这其实没啥技术 ，要达到你说的超级简单 白名单 即可。放与不放只看收的白名单多与否来决定

确实技术含量低，但前提是白名单能做到理想状态

据我所知，白名单收集并不是一个简单的事，特别是用户基数大的产品。

曾经和微点的人聊，他们的驱动10多个，而且不带数字签名，全部加载和全部不加载都没事，但是，一旦误拦其中的几个，让其中几个不加载，就会蓝屏。

dl123100

小紫英 发表于 2011-1-21 10:08
如果XT写的够稳定，加驱情况下市面上任何产品自保都能过，摘钩子，摘驱动，改系统回调，可惜了，这玩意老是 ...

没发现Comodo的自保有什么对付Ring0的部分。
另外，XueTr整体稳定性比目前的gmer、RKU之类还是要强的。
目前使用公开发布的XueTr中出现的蓝屏多是使用不当导致的，某些功能如卸载驱动会去掉。

dl123100

另外比较怀疑48楼跟微点官方人员有过接触。