-
-
[讨论]成功绕过瑞星2009主动防御
-
发表于:
2009-4-5 10:18
10869
-
小弟第一次在看雪论坛上发贴,也没有做好充分准备,所以随意写点自已最近的小小体会.不要介怀,
最近查阅相关资料,网上说明ZwSetSystemInformation可以安装驱动,但是这个方法公布已久,基本上所有的杀毒软件对这个native api 下了SSDT钩子,但是经过我的测试发现,利用这个函数完全可以在有瑞星防护下安装驱动成功,也就是说我们的代码可以在RING 0下运行,那时再取消杀软在系统中下的SSDT 钩子,易如反掌.
最后查看了一下瑞星的设置,发现瑞星的主动防御设置的默认情况下,没有选择安装驱动监控.所以导致我们利用 ZwSetSystemInformation安装成功驱动.当然还要强调一点利用ZwSetSystemInformation有两个缺陷,
1. 此函数在windws 2003 中不能使用了,当然windows 2000\xp无妨,悲哀!
2.在驱动中 函数
NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath ) 的参数列表中DriverObject,RegistryPath 通通为NULL.各位可要注意啦,在函数体内可不要使用这两个参数哟,不然就会出现经典的windows 蓝屏.
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)