[原创]干掉KV 2008, Rising等大部分杀软-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]干掉KV 2008, Rising等大部分杀软

发表于: 2008-3-23 10:01 58474

[原创]干掉KV 2008, Rising等大部分杀软

sudami

2008-3-23 10:01

58474

1. 得到KV 2008的进程句柄
2. 通过句柄得到EPROCESS，然后遍历每个THREAD，结束之。
[之前要恢复inline hook]

1.> 对于NtTerminateProcess, 还得先得到ZwTerminateProcess的地址(已导出),取出其服务号,再到SST中找;而且若被其他安全软件hook了,找到的还不是原始地址.
恢复SSDT也不是保险的方法, eg: KV 2008注册了个DPC,每隔5ms恢复一次对NtTerminateProcess的hook,所以基本不可能得到原始的地址.
或者你可以读ntoskrnl.exe,重定位后找到原始的NtTerminateProcess.这样是可行的,不过比较繁琐~

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#系统底层

上传的附件：

inline_hook.gif （1.27kb，6626次下载）
SSDT_hook.gif （3.07kb，6616次下载）
效果.GIF （12.83kb，6619次下载）
sudami.sys.gif （10.12kb，6597次下载）
360safe.gif （7.91kb，6614次下载）
kill_SecuritySoftware.rar （80.23kb，822次下载）
KV_1.GIF （4.89kb，6607次下载）

收藏・74

免费・7

支持

最新回复 (115) 1 2 3 4 5 ▶
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 2 楼 autoruns 能不能看到？能看到的话，还是白忙乎 2008-3-23 10:16 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 3 楼学习其实我觉得，现在一些病毒，动不动就杀掉KV之类的软件或者禁止监控，是不是太笨了？这样一下子就引起了用户的注意，发觉病毒的存在，继而千方百计也要把病毒揪出来，大不了重装系统！ 2008-3-23 10:18 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 4 楼你自己试下就知道了。看得到也删不掉，这只是个测试程序。和病毒成品差距甚远。我又不是做病毒的。 2008-3-23 10:19 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 5 楼支持sudami 大牛！ 2008-3-23 10:25 0
wangweimin 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	wangweimin 6 楼牛人 2008-3-23 10:35 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 7 楼都到驱动里搞动作了,而且杀毒软件的有些动作很猥琐,真的无聊。 2008-3-23 10:48 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 8 楼好帖子，受教了现在象micropoint这种猥琐的深层inline hook, 象楼主说的“或者你可以读ntoskrnl.exe,重定位后找到原始的NtTerminateProcess.这样是可行的,不过比较繁琐~ ” 不如自己实现一个Pe Load，装载需要的内核文件来用吧 2008-3-23 11:46 0
upxshell 雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 154 粉丝 0 关注私信	upxshell 9 楼精贴，牛人，向高人学习 2008-3-23 12:05 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼前提太难了31415926 2008-3-23 13:13 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼若考虑前前后后的东西. 估计还得花至少一个星期. 比如过主防, arp, 感染exe, U盘传播. 所以得一步步的攻坚嘛,况且,研究研究就够了,真要写个病毒出来达到和磁碟机一样的效果,还是有一段时间的挑战的 -------------------------------------------------------------- 这文章只是一种思路, 让杀软失效的方法很多,比如V大提到的线程调度方面.... 嘿嘿~~~ 2008-3-23 13:19 0
kgdurgwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	kgdurgwu 12 楼收藏份。。。。 2008-3-23 13:21 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 13 楼好久没保存过精华文章了，收 2008-3-23 13:45 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 14 楼很有价值，学习了。 2008-3-23 15:47 0
kgdurgwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	kgdurgwu 15 楼我想问下这些未导出的函数应该怎么去用啊？？他的参数和类型值应该怎么知道？谢谢 2008-3-23 15:50 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 16 楼 WRK + Windbg 2008-3-23 19:41 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 17 楼收藏学习，再次佩服一个大米同学。。。 2008-3-23 20:14 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 18 楼牛................... 还是牛................... 2008-3-23 20:45 0
zzy 雪币： 215 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	zzy 2 19 楼天下已经大乱了~~ 2008-3-23 21:36 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 20 楼学习sudami 大牛的文章 2008-3-23 22:14 0
kgdurgwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	kgdurgwu 21 楼学习了非常感谢。。。。 2008-3-23 22:35 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 22 楼内存清0啊貌似还是通杀还有就是自己送apc给目标进程不走系统得过程嘿嘿 2008-3-23 22:38 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 23 楼如果api被hook了我们要立刻自己写代码完成这个api得工作 2008-3-23 22:38 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 24 楼处理下KeAttachXXXX、KiAttachXXXX、KeStackXXXX应该可以简单的防下内存清0 若在KiInsertQueueXXXX上做了手脚。那么还得自己完成APC插入到队列的过程（队列头 or 队列尾），也不是很爽，自己实现到是不错的方法~ 2008-3-23 22:48 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 25 楼 ring0的好处就是想怎么搞怎么搞，搞死了重启又可以搞了 2008-3-24 00:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sudami

发帖

1581

回帖

1010

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (115) 1 2 3 4 5 ▶
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 2 楼 autoruns 能不能看到？能看到的话，还是白忙乎 2008-3-23 10:16 0
szdbg 雪币： 266 活跃值： (52) 能力值： ( LV9，RANK：210 ) 在线值：发帖 48 回帖 305 粉丝 6 关注私信	szdbg 5 3 楼学习其实我觉得，现在一些病毒，动不动就杀掉KV之类的软件或者禁止监控，是不是太笨了？这样一下子就引起了用户的注意，发觉病毒的存在，继而千方百计也要把病毒揪出来，大不了重装系统！ 2008-3-23 10:18 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 4 楼你自己试下就知道了。看得到也删不掉，这只是个测试程序。和病毒成品差距甚远。我又不是做病毒的。 2008-3-23 10:19 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 5 楼支持sudami 大牛！ 2008-3-23 10:25 0
wangweimin 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	wangweimin 6 楼牛人 2008-3-23 10:35 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 7 楼都到驱动里搞动作了,而且杀毒软件的有些动作很猥琐,真的无聊。 2008-3-23 10:48 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 8 楼好帖子，受教了现在象micropoint这种猥琐的深层inline hook, 象楼主说的“或者你可以读ntoskrnl.exe,重定位后找到原始的NtTerminateProcess.这样是可行的,不过比较繁琐~ ” 不如自己实现一个Pe Load，装载需要的内核文件来用吧 2008-3-23 11:46 0
upxshell 雪币： 162 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 154 粉丝 0 关注私信	upxshell 9 楼精贴，牛人，向高人学习 2008-3-23 12:05 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 10 楼前提太难了31415926 2008-3-23 13:13 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼若考虑前前后后的东西. 估计还得花至少一个星期. 比如过主防, arp, 感染exe, U盘传播. 所以得一步步的攻坚嘛,况且,研究研究就够了,真要写个病毒出来达到和磁碟机一样的效果,还是有一段时间的挑战的 -------------------------------------------------------------- 这文章只是一种思路, 让杀软失效的方法很多,比如V大提到的线程调度方面.... 嘿嘿~~~ 2008-3-23 13:19 0
kgdurgwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	kgdurgwu 12 楼收藏份。。。。 2008-3-23 13:21 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 13 楼好久没保存过精华文章了，收 2008-3-23 13:45 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 14 楼很有价值，学习了。 2008-3-23 15:47 0
kgdurgwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	kgdurgwu 15 楼我想问下这些未导出的函数应该怎么去用啊？？他的参数和类型值应该怎么知道？谢谢 2008-3-23 15:50 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 16 楼 WRK + Windbg 2008-3-23 19:41 0
petnt 雪币： 485 活跃值： (12) 能力值： ( LV9，RANK：490 ) 在线值：发帖 32 回帖 1215 粉丝 1 关注私信	petnt 12 17 楼收藏学习，再次佩服一个大米同学。。。 2008-3-23 20:14 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 18 楼牛................... 还是牛................... 2008-3-23 20:45 0
zzy 雪币： 215 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	zzy 2 19 楼天下已经大乱了~~ 2008-3-23 21:36 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 20 楼学习sudami 大牛的文章 2008-3-23 22:14 0
kgdurgwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	kgdurgwu 21 楼学习了非常感谢。。。。 2008-3-23 22:35 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 22 楼内存清0啊貌似还是通杀还有就是自己送apc给目标进程不走系统得过程嘿嘿 2008-3-23 22:38 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 23 楼如果api被hook了我们要立刻自己写代码完成这个api得工作 2008-3-23 22:38 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 24 楼处理下KeAttachXXXX、KiAttachXXXX、KeStackXXXX应该可以简单的防下内存清0 若在KiInsertQueueXXXX上做了手脚。那么还得自己完成APC插入到队列的过程（队列头 or 队列尾），也不是很爽，自己实现到是不错的方法~ 2008-3-23 22:48 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 25 楼 ring0的好处就是想怎么搞怎么搞，搞死了重启又可以搞了 2008-3-24 00:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复