[原创]Ring3下另一种结束卡巴斯基进程的新技术-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Ring3下另一种结束卡巴斯基进程的新技术

发表于: 2008-6-5 07:15 25892

[原创]Ring3下另一种结束卡巴斯基进程的新技术

nevergone

2008-6-5 07:15

25892

原创，转载请保留全部信息
卡巴斯基<1>启动的时候，两个进程内部都会创建一个事件用于同步退出，当显示关闭这个事件时，AVP进程会退出。这个事件内核对象名字是一个
GUID，一开始我以为是动态生成的，但据我逆向及在其他机器观察，这个事件是硬编
码，”6953EA60-8D5F-4529-8710-42F8ED3E8CDA”(为了方便，在本文，我把这个事件写成A事件，我猜想卡巴斯基开发
人员肯定读过windows核心编程，Jeffrey Richter 建议用GUID来命名事件^_^)。打开procexp.exe查找两个
avp.exe<2>进程内核对象，关闭A事件，这时AVP进程就会退出，各位看官可以在自己机器上测试^_^，AVP进程守护功能<3>在此不起作
用。Procexp.exe是如何做到关闭其他进程内核对象的呢？逆向之后发现procexp.exe是在ring0下完成的，偶不用ring0，直接
ring3。
卡巴斯基有Hook NtOpenProcess，不过当我们以PROCESS_QUERY_INFORMATION打开AVP时，仍然可以成
功<4>，同样卡巴斯基也有Hook NtDuplicateObject，一开始我以为如果调用DuplicateHandle来改变desire
access会失效，据牛人张翼的话：很多HIPS挂了NtDuplicateObject也是白挂。于是我尝试用Duplicate(….
PROCESS_DUP_HANDLE….)改变进程的desire access，卡巴斯基有两个进程，其中一个以SYSTEM账号运行的AVP进程
不能打开，只能打开另一个以当前用户运行的进程，足够了。当我们终止以当前用户运行的AVP进程时，卡巴就失效了。
成功打开了句柄后，采用NtQuerySystemInformation SystemHandleInformation 功能号枚举句
柄，当枚举到的句柄是A事件时，我们用刚才打开的进程句柄，用
DuplicateHandle(..DUPLICATE_CLOSE_SOURCE)，DUPLICATE_CLOSE_SOURCE标志位关闭
source进程内的句柄，AVP进程感应到退出事件，退出。
代码详见附件，如果发现有BUGS，请mail me : wangyongxina@gmail.com
感谢猪头三的技术支持~

注<1>：我开发用的版本如下：
kis8.0.0.402en.exe，kav8.0.0.402en.exe，kis7_0_1_325sch.exe。其他版本可能会运行失败。早
期的KIS7.0.2(我忘记版本号了)，这种方法无效。
注<2>：卡巴斯基在启动的时候，可能会启动三个进程，其中有一个用于升级，本文不考虑这种情况。
注<3>：卡巴斯基有进程守护功能，当结束其中的一个时，如果是以当前用户运行的AVP进程，会被另一个AVP重启；如果是以SYSTEM账号运行的进
程，会被services.exe启动
注<4>:我在测试KIS7.0版本时，发现以PROCESS_DUP_HANDLE | PROCESS_QUERY_INFORMATION |
PROCESS_VM_READ可以打开句柄，而KIS8.0进程只能以PROCESS_QUERY_INFORMATION打开。

测试时，请注意卡巴版本，不是所有版本都存在这样方式来终止

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Kill_KIS8.rar （93.53kb，932次下载）

收藏・22

免费・7

支持

最新回复 (42) 1 2 ▶
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 2 楼牛人啊，杀软真是防不胜防，堵住一个漏洞，又来一个！ 2008-6-5 08:27 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 3 楼不过还是不明白，为什么“挂了NtDuplicateObject也是白挂”呢？ 2008-6-5 08:29 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 4 楼不错的文章，代码写的也不错，学习 2008-6-5 09:06 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 5 楼早上起来学习.天天向上 2008-6-5 09:13 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 6 楼我的卡巴6好象没事哈 2008-6-5 09:30 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 7 楼学习学习利用此方法可以对付其他杀软或hips么 2008-6-5 10:35 0
猪头三雪币： 158 活跃值： (263) 能力值： ( LV10，RANK：170 ) 在线值：发帖 23 回帖 100 粉丝 2 关注私信	猪头三 3 8 楼不错不错，成功就是好事情！ 2008-6-5 11:18 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 9 楼顶个~~~ 2008-6-5 12:28 0
小子贼野雪币： 347 活跃值： (30) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 10 楼希望不要有人做坏事才好 2008-6-5 13:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 11 楼 AV: 请你一定要比我猥琐，才不枉费我狼狈退出 2008-6-5 14:11 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 12 楼你看的是魔幻AV吧 2008-6-5 14:30 0
zhaoweiwei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zhaoweiwei 13 楼附件中的动态链接库不错啊 2008-6-6 09:55 0
cooloong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	cooloong 14 楼好东西受教了 2008-6-6 12:07 0
iRiqium 雪币： 362 活跃值： (321) 能力值： ( LV2，RANK：140 ) 在线值：发帖 10 回帖 37 粉丝 1 关注私信	iRiqium 3 15 楼精彩 -- 定 2008-6-6 12:16 0
静心兜风雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	静心兜风 16 楼这个工具如果能好好利用的话，我想卡巴其他版本也可以突破 2008-6-6 20:56 0
mswc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mswc 17 楼有用，正在研究杀毒软件，谢谢 2008-6-8 07:34 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 18 楼 VS2003编译的代码.工程文件sln 2008-6-8 09:41 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 19 楼 VS2005 2008-6-9 09:09 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 20 楼好帖留名 2008-6-9 13:16 0
简单熙佑雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	简单熙佑 21 楼谢谢了!!!!! 2008-6-9 16:44 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 22 楼确实是高手，只有魔高一丈，道才会再来高一尺。 2008-6-10 14:42 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 23 楼先顶再看多谢分享 2008-6-10 18:51 0
jinyh 雪币： 312 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 54 粉丝 0 关注私信	jinyh 24 楼好啊,别做坏事.BS用来做坏事的人 2008-6-11 07:32 0
RuShi 雪币： 10108 活跃值： (3306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 196 粉丝 0 关注私信	RuShi 25 楼学习学习 2008-6-12 15:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nevergone

发帖

270

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 2 楼牛人啊，杀软真是防不胜防，堵住一个漏洞，又来一个！ 2008-6-5 08:27 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 3 楼不过还是不明白，为什么“挂了NtDuplicateObject也是白挂”呢？ 2008-6-5 08:29 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 4 楼不错的文章，代码写的也不错，学习 2008-6-5 09:06 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 5 楼早上起来学习.天天向上 2008-6-5 09:13 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 6 楼我的卡巴6好象没事哈 2008-6-5 09:30 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 7 楼学习学习利用此方法可以对付其他杀软或hips么 2008-6-5 10:35 0
猪头三雪币： 158 活跃值： (263) 能力值： ( LV10，RANK：170 ) 在线值：发帖 23 回帖 100 粉丝 2 关注私信	猪头三 3 8 楼不错不错，成功就是好事情！ 2008-6-5 11:18 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 9 楼顶个~~~ 2008-6-5 12:28 0
小子贼野雪币： 347 活跃值： (30) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 10 楼希望不要有人做坏事才好 2008-6-5 13:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 11 楼 AV: 请你一定要比我猥琐，才不枉费我狼狈退出 2008-6-5 14:11 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 12 楼你看的是魔幻AV吧 2008-6-5 14:30 0
zhaoweiwei 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zhaoweiwei 13 楼附件中的动态链接库不错啊 2008-6-6 09:55 0
cooloong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	cooloong 14 楼好东西受教了 2008-6-6 12:07 0
iRiqium 雪币： 362 活跃值： (321) 能力值： ( LV2，RANK：140 ) 在线值：发帖 10 回帖 37 粉丝 1 关注私信	iRiqium 3 15 楼精彩 -- 定 2008-6-6 12:16 0
静心兜风雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	静心兜风 16 楼这个工具如果能好好利用的话，我想卡巴其他版本也可以突破 2008-6-6 20:56 0
mswc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mswc 17 楼有用，正在研究杀毒软件，谢谢 2008-6-8 07:34 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 18 楼 VS2003编译的代码.工程文件sln 2008-6-8 09:41 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 19 楼 VS2005 2008-6-9 09:09 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 20 楼好帖留名 2008-6-9 13:16 0
简单熙佑雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	简单熙佑 21 楼谢谢了!!!!! 2008-6-9 16:44 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 22 楼确实是高手，只有魔高一丈，道才会再来高一尺。 2008-6-10 14:42 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 23 楼先顶再看多谢分享 2008-6-10 18:51 0
jinyh 雪币： 312 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 54 粉丝 0 关注私信	jinyh 24 楼好啊,别做坏事.BS用来做坏事的人 2008-6-11 07:32 0
RuShi 雪币： 10108 活跃值： (3306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 196 粉丝 0 关注私信	RuShi 25 楼学习学习 2008-6-12 15:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复