[原创]用户层关闭瑞星2009杀毒软件安全保护-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]用户层关闭瑞星2009杀毒软件安全保护

发表于: 2009-7-29 19:35 21874

[原创]用户层关闭瑞星2009杀毒软件安全保护

hopy

2009-7-29 19:35

21874

只是一个小小的思路，老鸟自行飘过，呵呵

我写这个纯粹是hacker精神，如果被滥用做病毒木马一类的邋遢东东，可跟偶没关系哦。

原理very简单，我发现瑞星监控主要在RavMonD进程中，如果打破其与内核的联系，则

瑞星监控功能就无法正常工作了，怎么打破联系呢？如果是进内核的话当然有很多的办法，

从而没有挑战性了，况且RavMonD会阻止用户进程去加载驱动或者动注册表的关键地方，

比如run子键。下面上测试代码：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・13

免费・7

支持

最新回复 (36) 1 2 ▶
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼如果可以从csrss中取到句柄的话，确实还可以搞那么一搞~ 2009-7-29 19:49 0
kkblue 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	kkblue 3 楼表面平静,实在暗潮汹涌. 2009-7-29 20:02 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 4 楼关闭句柄权限不用PROCESS_ALL_ACCESS这么大 2009-7-29 20:29 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 5 楼了解,看你关了卡巴,瑞星有没有类似的事件? 2009-7-29 21:07 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 6 楼但是ring3下很难得知这个hooksys句柄 2009-7-29 22:42 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 7 楼瑞星要搞掉没这么麻烦，用DUPLICATE HANDLE拿到RSTRAY.EXE的进程后FREEXXX就轻松干掉了~ 另外，楼主以为拿不到HOOKSYS的句柄号就不能用这种方式了吗，很简单，暴力DUPLICATE即可 2009-7-29 22:47 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 8 楼我的意思是，如果瑞星在ring0 hook了诸如NtQuerySystemInfo，psapi*和其他可以枚举句柄的函数，那么我们在ring3怎么取该进程中对象的句柄？ 2009-7-30 07:58 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 9 楼这个还是有研究意义 2009-7-30 08:46 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 10 楼觉对支持hopy 2009-7-30 09:39 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 11 楼句柄啊句柄！！！！ 2009-7-30 10:05 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 12 楼我说的正是HOOK了这些后仍可得到句柄号，看来你没理解我说的。 QuerySystem取句柄号正是小儿科，思维定势限制了~ 2009-7-30 12:35 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 13 楼是么？？？？？？ 2009-7-30 12:47 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 14 楼估计mj说的是从1到1万，暴力dub 2009-7-30 15:08 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 15 楼若是将该进程句柄全部抹去，你又怎么到其进程空间去暴力枚举。 2009-7-31 10:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 16 楼哎，笨举一反三进程句柄可先在csrss里暴力枚举之。 2009-7-31 11:08 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 17 楼你才苯，这我能不知道么？呵呵我说的就是将csrss中对应process的句柄抹掉，比如关闭该句柄。关闭该句柄后，就无法在句柄表中找到其索引了，暴力枚举又如何能找的到呢？ 2009-7-31 11:33 0
WinDebug 雪币： 100 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	WinDebug 18 楼反对破坏杀毒软件 2009-7-31 12:05 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 19 楼反对无效！！！ 2009-7-31 12:07 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 20 楼我刚想说，被MJ老爷说了。。 2009-7-31 14:46 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 21 楼关闭CSRSS中的进程句柄会影响关机时关闭这个进程，若这个进程不主动退出，将无法关机，还有其他一些副作用~楼主太想当然了~ 另外，即使关闭CSRSS中该进程句柄，也可以用MAX法或GW法来获得进程句柄，为了不祸害人间，就不详细透露了~ 2009-7-31 15:11 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 22 楼膜拜hopy 2009-7-31 16:39 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 23 楼这个...你拜错对象了... 2009-7-31 17:52 0
foxbase 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 40 粉丝 0 关注私信	foxbase 24 楼又是引来一整骚动 2009-7-31 18:55 0
leivn 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	leivn 25 楼 hopy不做CSDN的版主啦 2009-8-1 11:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hopy

发帖

159

回帖

350

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼如果可以从csrss中取到句柄的话，确实还可以搞那么一搞~ 2009-7-29 19:49 0
kkblue 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	kkblue 3 楼表面平静,实在暗潮汹涌. 2009-7-29 20:02 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 4 楼关闭句柄权限不用PROCESS_ALL_ACCESS这么大 2009-7-29 20:29 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 5 楼了解,看你关了卡巴,瑞星有没有类似的事件? 2009-7-29 21:07 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 6 楼但是ring3下很难得知这个hooksys句柄 2009-7-29 22:42 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 7 楼瑞星要搞掉没这么麻烦，用DUPLICATE HANDLE拿到RSTRAY.EXE的进程后FREEXXX就轻松干掉了~ 另外，楼主以为拿不到HOOKSYS的句柄号就不能用这种方式了吗，很简单，暴力DUPLICATE即可 2009-7-29 22:47 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 8 楼我的意思是，如果瑞星在ring0 hook了诸如NtQuerySystemInfo，psapi*和其他可以枚举句柄的函数，那么我们在ring3怎么取该进程中对象的句柄？ 2009-7-30 07:58 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 9 楼这个还是有研究意义 2009-7-30 08:46 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 10 楼觉对支持hopy 2009-7-30 09:39 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 11 楼句柄啊句柄！！！！ 2009-7-30 10:05 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 12 楼我说的正是HOOK了这些后仍可得到句柄号，看来你没理解我说的。 QuerySystem取句柄号正是小儿科，思维定势限制了~ 2009-7-30 12:35 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 13 楼是么？？？？？？ 2009-7-30 12:47 0
天外来客雪币： 279 活跃值： (33) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 45 粉丝 0 关注私信	天外来客 14 楼估计mj说的是从1到1万，暴力dub 2009-7-30 15:08 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 15 楼若是将该进程句柄全部抹去，你又怎么到其进程空间去暴力枚举。 2009-7-31 10:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 16 楼哎，笨举一反三进程句柄可先在csrss里暴力枚举之。 2009-7-31 11:08 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 17 楼你才苯，这我能不知道么？呵呵我说的就是将csrss中对应process的句柄抹掉，比如关闭该句柄。关闭该句柄后，就无法在句柄表中找到其索引了，暴力枚举又如何能找的到呢？ 2009-7-31 11:33 0
WinDebug 雪币： 100 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 44 粉丝 0 关注私信	WinDebug 18 楼反对破坏杀毒软件 2009-7-31 12:05 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 19 楼反对无效！！！ 2009-7-31 12:07 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 20 楼我刚想说，被MJ老爷说了。。 2009-7-31 14:46 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 21 楼关闭CSRSS中的进程句柄会影响关机时关闭这个进程，若这个进程不主动退出，将无法关机，还有其他一些副作用~楼主太想当然了~ 另外，即使关闭CSRSS中该进程句柄，也可以用MAX法或GW法来获得进程句柄，为了不祸害人间，就不详细透露了~ 2009-7-31 15:11 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 22 楼膜拜hopy 2009-7-31 16:39 0
hopy 雪币： 442 活跃值： (107) 能力值： ( LV9，RANK：350 ) 在线值：发帖 22 回帖 159 粉丝 1 关注私信	hopy 8 23 楼这个...你拜错对象了... 2009-7-31 17:52 0
foxbase 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 40 粉丝 0 关注私信	foxbase 24 楼又是引来一整骚动 2009-7-31 18:55 0
leivn 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 1 关注私信	leivn 25 楼 hopy不做CSDN的版主啦 2009-8-1 11:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复