关于自我保护问题

solcroft

要干掉NOD32的进程很简单，就是会一直重生
把这个选项换掉的话，hoho，ekrn.exe也就这样被task manager干掉了，和红伞没区别

no3q

已经设置好了.

ttdown

突然想到个问题，这样设置后，红伞在升级引擎或重要文件时会自动中止它的服务，但这时由于我们的设置会导致“旧”红伞又会“自动”重启，那会不会影响了它的引擎或重要文件更新？（更新病毒库肯定没问题）

ttdown

原帖由 solcroft 于 2007-5-31 11:41 发表
要干掉NOD32的进程很简单，就是会一直重生
把这个选项换掉的话，hoho，ekrn.exe也就这样被task manager干掉了，和红伞没区别

呵呵，NOD32也不过如此，但红伞为何当初不自己这样定义服务设置？会不会是因为我上一帖提到的问题？

solcroft

真的要干掉进程的话，不是这样就能防得住的，NOD32这么做其实也只是摆设，来哄哄菜鸟高兴，最弱智的方法也就是直接调用sc.exe直接把整个进程的注册表值都删掉了，看你还怎么重生

红伞不这么做，可能是觉得这种东西做了也没什么意思

solcroft

要看进程保护还是要看Cyberhawk，同时安装4个驱使，比rootkit还更厉害
试图终止Cyberhawk的服务往往就是假死现象，死都不让你杀掉，但虽然还是敌不过IceSword

mofunzone

solcroft看看江民去吧
改进防终止技术后写了6个驱动
我自己用sreng和autoruns好删才给他清理干净。。

solcroft

刚用了自己说的办法，果然把ESS KO了，现在要动手启动服务也失败
重装ESS去也

闪电战

呵呵~我以前就在论坛上发过这个方法

NOD32的自我保护似乎就这么回事
但它还有阻止自身注册表项被篡改的功能，红伞差的就是这一步
因为光这么设置一下病毒仍然可以直接删除服务项

GBUser

原帖由 ttdown 于 2007-5-31 11:43 发表
突然想到个问题，这样设置后，红伞在升级引擎或重要文件时会自动中止它的服务，但这时由于我们的设置会导致“旧”红伞又会“自动”重启，那会不会影响了它的引擎或重要文件更新？（更新病毒库肯定没问题）

同此一问，请教周版

还有，这样用SSM保护红伞的话该怎么设置？只允许Update.exe终止Avguard.exe？

[ 本帖最后由 GBUser 于 2007-5-31 16:41 编辑 ]