能力值:
( LV12,RANK:300 )
|
-
-
2 楼
你的出发点有问题:拦截是肯定会拦截到的,问题是允不允许。
因此你只需要在程序发布的说明里说清楚,当卡巴有这样的提示时,让用户选择跳过并把程序加入信任区。
如果你说不让卡巴拦截到,那等于“对抗主动防御”了,那反而越做越会让用户觉得你的程序有问题。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
比较郁闷,说过了,客户不管的
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
一般正常的程序都不需要改写对方内存的啊。。。
如果是比较暴力的程序,直接把卡巴的挂钩恢复
|
能力值:
( LV9,RANK:250 )
|
-
-
5 楼
如果是正规的程序,你可以让卡巴加代码:
if(procname=='cpshow'){permit=1;}
|
能力值:
( LV9,RANK:140 )
|
-
-
6 楼
卡吧是不是在WritehProcessMemory这个系统函数那下断点了?还是用的别的方法拦截的.
如果只是下断拦截的话,去掉断点应该可以.
不知道说得对不对.
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
肯定是挂钩了阿
|
能力值:
( LV12,RANK:300 )
|
-
-
8 楼
卡巴至少是SSDT HOOK了NtWriteVirtualMemory(WriteProcessMemory内部调用它)
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
应该是这样的,恢复ssdt有用么?
|
能力值:
( LV12,RANK:300 )
|
-
-
10 楼
先不要考虑恢复SSDT有没有用,关键是恢复SSDT(对抗主动防御)的动作,恐怕引起的卡巴报警会比你单纯WriteProcessMemory多得多吧?最后的结果,恐怕会与楼主的初衷(不让用户对程序产生误会)背道而驰。
|
能力值:
( LV9,RANK:140 )
|
-
-
11 楼
1.先把程序压缩,让卡吧检测不出来.
2.外壳程序弹出"警告"框,只要卡吧没关,就一直有.
3.当检测到没有卡吧时,就正常运行程序....
呵呵
|
能力值:
( LV9,RANK:250 )
|
-
-
12 楼
这样用户不会满意的
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
呵呵,不知道现在修改时间那个批处理对卡巴还有没有效果的
|
能力值:
( LV12,RANK:470 )
|
-
-
14 楼
和卡巴公司人员协商1下
把你的程序加入可信列表
|
能力值:
( LV9,RANK:140 )
|
-
-
15 楼
想得到美....
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
惹不起还躲不起吗?把自己程序改一改
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
哎,没办法,正如楼上兄弟说的,惹不起。我躲总可以啦。
最终还是去掉了WritehProcessMemory 不报了
|
|
|