[讨论]轻松绕过Kv2009，微点，卡巴一切杀软的自我保护-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]轻松绕过Kv2009，微点，卡巴一切杀软的自我保护

发表于: 2009-9-21 08:39 14039

[讨论]轻松绕过Kv2009，微点，卡巴一切杀软的自我保护

CoolSnow

2009-9-21 08:39

14039

1.这是一个函数，一个杀线程的函数。
2.微软没有导出它，它有三个参数，它的第三个参数为FALSE，就不会经过插APC这一步

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・2

免费・0

支持

最新回复 (45) 1 2 ▶
晓枫木木雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	晓枫木木 2 楼看过你发的图片的确都杀了到底是什么函数啊？ 2009-9-21 08:41 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 3 楼已经提示的很清楚了看看wrk源码就明白了 2009-9-21 08:43 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 4 楼完全不懂只能膜拜 2009-9-21 08:59 0
JWPL 雪币： 6 活跃值： (956) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 5 楼是不是这个 NTSTATUS PspTerminateThreadByPointer( IN PETHREAD Thread, IN NTSTATUS ExitStatus, IN BOOLEAN DirectTerminate ) /++ Routine Description: This function causes the specified thread to terminate. Arguments: ThreadHandle - Supplies a referenced pointer to the thread to terminate. ExitStatus - Supplies the exit status associated with the thread. DirectTerminate - TRUE is its ok to exit without queing an APC, FALSE otherwise --/ 2009-9-21 09:13 0
Sovereign 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 91 粉丝 0 关注私信	Sovereign 6 楼楼主好强大。。。。 2009-9-21 09:36 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 7 楼 LZ火星了.. 2009-9-21 09:58 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 8 楼绕什么啊，微点，卡巴，瑞星，都有对安装驱动的检测，你在ring3就能干掉？其实过杀软主要在于你能否偷偷摸摸安上驱动，进入ring0怎么办都好，不让你安驱动你在ring3下又能做什么？我当初过主动防御，连模拟点击都用上了，首先释放一个exe去监视主动防御窗口，然后安装驱动，这时候被拦下，先释放的那个exe点击允许的位置，这样才过了主动防御。不知道楼主的什么函数能在ring3下过杀进程？ 2009-9-21 10:00 0
菊冬雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 91 粉丝 0 关注私信	菊冬 9 楼围观NC. / 2009-9-21 10:15 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 10 楼如果你不是一个恶意程序微点就不会拦截你加载驱动在你干掉杀软之后在翻脸 2009-9-21 10:16 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 11 楼晚上我发上来大家试一下最好在装有微点，KV2009，瑞星2009，卡巴2009，nod32，…………的虚拟机上测试可能会蓝屏 2009-9-21 10:19 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 12 楼不恢复任何东西哦 2009-9-21 10:20 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 13 楼你可以试试，就装显卡驱动都拦的，它会拦截所有安装驱动的过程 2009-9-21 10:37 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 14 楼那是弱智的瑞星干的事微点是先检测要加载的驱动是不是恶意文件才通知用户的 2009-9-21 10:47 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 15 楼 PspTerminateThreadByPointer和楼主描述的有点像，不过第三个参数的描述刚好相反另外不插入APC貌似只能自杀 2009-9-21 11:07 0
mtvwr 雪币： 225 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 160 粉丝 0 关注私信	mtvwr 16 楼 360也是什么驱动都拦,然后给用户提示 2009-9-21 11:09 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 17 楼结束进程本身的意义不打。。。 2009-9-21 11:48 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 18 楼驱动加载时就被拦截了，要说能进R0结束进程就不难，关键是很多杀软会拦截任何驱动加载 2009-9-21 14:14 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 19 楼这你就错了，360并不是什么驱动都拦，象楼主这样的恶意驱动，直接就拦掉了，然后进程直接杀掉，根本就不提示。 2009-9-21 14:32 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 20 楼如何定义其为 “恶意驱动”，特征码？？ 2009-9-21 19:27 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 21 楼不知道是不是免费版的缘故朋友的机器上装了360（应该是免费的）因为只玩游戏没有什么其他用途在第一次加载驱动时 360并没有提示几秒后程序拦截到了360加载驱动放过这时关掉程序在次打开时 360就提示某XX 要求加载驱动。不知是何缘故？ 2009-9-21 20:45 0
qydao 雪币： 137 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	qydao 22 楼不知道都在讨论什么，想过主防？如果一个程序只是在病毒的边缘，主防会不会惊醒？玩笑我弄过一个，动作很少，除卡巴外，其它全过，卡巴拦截时已经感染许多了，微点无反应。动作少点就没事。 2009-9-21 20:52 0
keaigt 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	keaigt 23 楼期待中占位 2009-9-21 21:07 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 24 楼你这跟没说一样，你::DeleteFile()，或者是system("rd d:\ \s \q")杀软都不管你，现在讨论的是如何能彻底过主防，执行任何动作。我应用层就能过卡巴，瑞星和nod32，不信给我发消息，我传给你exe 2009-9-21 21:36 0
shell800 雪币： 316 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 0 关注私信	shell800 25 楼我希望有提示.出现严重问题了不知道怎么行. 2009-9-21 21:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

CoolSnow

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) 1 2 ▶
晓枫木木雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	晓枫木木 2 楼看过你发的图片的确都杀了到底是什么函数啊？ 2009-9-21 08:41 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 3 楼已经提示的很清楚了看看wrk源码就明白了 2009-9-21 08:43 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 4 楼完全不懂只能膜拜 2009-9-21 08:59 0
JWPL 雪币： 6 活跃值： (956) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 5 楼是不是这个 NTSTATUS PspTerminateThreadByPointer( IN PETHREAD Thread, IN NTSTATUS ExitStatus, IN BOOLEAN DirectTerminate ) /++ Routine Description: This function causes the specified thread to terminate. Arguments: ThreadHandle - Supplies a referenced pointer to the thread to terminate. ExitStatus - Supplies the exit status associated with the thread. DirectTerminate - TRUE is its ok to exit without queing an APC, FALSE otherwise --/ 2009-9-21 09:13 0
Sovereign 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 91 粉丝 0 关注私信	Sovereign 6 楼楼主好强大。。。。 2009-9-21 09:36 0
nevergone 雪币： 63 活跃值： (17) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 270 粉丝 0 关注私信	nevergone 3 7 楼 LZ火星了.. 2009-9-21 09:58 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 8 楼绕什么啊，微点，卡巴，瑞星，都有对安装驱动的检测，你在ring3就能干掉？其实过杀软主要在于你能否偷偷摸摸安上驱动，进入ring0怎么办都好，不让你安驱动你在ring3下又能做什么？我当初过主动防御，连模拟点击都用上了，首先释放一个exe去监视主动防御窗口，然后安装驱动，这时候被拦下，先释放的那个exe点击允许的位置，这样才过了主动防御。不知道楼主的什么函数能在ring3下过杀进程？ 2009-9-21 10:00 0
菊冬雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 91 粉丝 0 关注私信	菊冬 9 楼围观NC. / 2009-9-21 10:15 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 10 楼如果你不是一个恶意程序微点就不会拦截你加载驱动在你干掉杀软之后在翻脸 2009-9-21 10:16 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 11 楼晚上我发上来大家试一下最好在装有微点，KV2009，瑞星2009，卡巴2009，nod32，…………的虚拟机上测试可能会蓝屏 2009-9-21 10:19 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 12 楼不恢复任何东西哦 2009-9-21 10:20 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 13 楼你可以试试，就装显卡驱动都拦的，它会拦截所有安装驱动的过程 2009-9-21 10:37 0
CoolSnow 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	CoolSnow 14 楼那是弱智的瑞星干的事微点是先检测要加载的驱动是不是恶意文件才通知用户的 2009-9-21 10:47 0
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 15 楼 PspTerminateThreadByPointer和楼主描述的有点像，不过第三个参数的描述刚好相反另外不插入APC貌似只能自杀 2009-9-21 11:07 0
mtvwr 雪币： 225 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 160 粉丝 0 关注私信	mtvwr 16 楼 360也是什么驱动都拦,然后给用户提示 2009-9-21 11:09 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 17 楼结束进程本身的意义不打。。。 2009-9-21 11:48 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 18 楼驱动加载时就被拦截了，要说能进R0结束进程就不难，关键是很多杀软会拦截任何驱动加载 2009-9-21 14:14 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 19 楼这你就错了，360并不是什么驱动都拦，象楼主这样的恶意驱动，直接就拦掉了，然后进程直接杀掉，根本就不提示。 2009-9-21 14:32 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 20 楼如何定义其为 “恶意驱动”，特征码？？ 2009-9-21 19:27 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 21 楼不知道是不是免费版的缘故朋友的机器上装了360（应该是免费的）因为只玩游戏没有什么其他用途在第一次加载驱动时 360并没有提示几秒后程序拦截到了360加载驱动放过这时关掉程序在次打开时 360就提示某XX 要求加载驱动。不知是何缘故？ 2009-9-21 20:45 0
qydao 雪币： 137 活跃值： (12) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 41 粉丝 0 关注私信	qydao 22 楼不知道都在讨论什么，想过主防？如果一个程序只是在病毒的边缘，主防会不会惊醒？玩笑我弄过一个，动作很少，除卡巴外，其它全过，卡巴拦截时已经感染许多了，微点无反应。动作少点就没事。 2009-9-21 20:52 0
keaigt 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	keaigt 23 楼期待中占位 2009-9-21 21:07 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 24 楼你这跟没说一样，你::DeleteFile()，或者是system("rd d:\ \s \q")杀软都不管你，现在讨论的是如何能彻底过主防，执行任何动作。我应用层就能过卡巴，瑞星和nod32，不信给我发消息，我传给你exe 2009-9-21 21:36 0
shell800 雪币： 316 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 0 关注私信	shell800 25 楼我希望有提示.出现严重问题了不知道怎么行. 2009-9-21 21:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复