首页
社区
课程
招聘
[讨论]轻松绕过Kv2009,微点,卡巴一切杀软的自我保护
发表于: 2009-9-21 08:39 14150

[讨论]轻松绕过Kv2009,微点,卡巴一切杀软的自我保护

2009-9-21 08:39
14150
1.这是一个函数,一个杀线程的函数。
2.微软没有导出它,它有三个参数,它的第三个参数为FALSE,就不会经过插APC这一步

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (45)
雪    币: 20
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
看过你发的图片 的确都杀了 到底是什么函数啊?
2009-9-21 08:41
0
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
已经提示的很清楚了 看看wrk源码就明白了
2009-9-21 08:43
0
雪    币: 284
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
完全不懂只能膜拜
2009-9-21 08:59
0
雪    币: 5
活跃值: (1131)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
是不是这个
NTSTATUS
PspTerminateThreadByPointer(
    IN PETHREAD Thread,
    IN NTSTATUS ExitStatus,
    IN BOOLEAN DirectTerminate
    )

/*++

Routine Description:

    This function causes the specified thread to terminate.

Arguments:

    ThreadHandle - Supplies a referenced pointer to the thread to terminate.

    ExitStatus - Supplies the exit status associated with the thread.

    DirectTerminate - TRUE is its ok to exit without queing an APC, FALSE otherwise

--*/
2009-9-21 09:13
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
楼主好强大。。。。
2009-9-21 09:36
0
雪    币: 63
活跃值: (17)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
7
LZ火星了..
2009-9-21 09:58
0
雪    币: 123
活跃值: (27)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
8
绕什么啊,微点,卡巴,瑞星,都有对安装驱动的检测,你在ring3就能干掉?其实过杀软主要在于你能否偷偷摸摸安上驱动,进入ring0怎么办都好,不让你安驱动你在ring3下又能做什么?我当初过主动防御,连模拟点击都用上了,首先释放一个exe去监视主动防御窗口,然后安装驱动,这时候被拦下,先释放的那个exe点击允许的位置,这样才过了主动防御。不知道楼主的什么函数能在ring3下过杀进程?
2009-9-21 10:00
0
雪    币: 221
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
围观NC.
/
2009-9-21 10:15
0
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
如果你不是一个恶意程序 微点就不会拦截你加载驱动 在你干掉杀软之后 在翻脸
2009-9-21 10:16
0
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
晚上我发上来 大家试一下  最好在装有微点,KV2009,瑞星2009,卡巴2009,nod32,…………的虚拟机上测试 可能会蓝屏
2009-9-21 10:19
0
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
不恢复任何东西哦
2009-9-21 10:20
0
雪    币: 123
活跃值: (27)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
13
你可以试试,就装显卡驱动都拦的,它会拦截所有安装驱动的过程
2009-9-21 10:37
0
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
那是弱智的瑞星干的事 微点是先检测要加载的驱动是不是恶意文件才通知用户的
2009-9-21 10:47
0
雪    币: 251
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
PspTerminateThreadByPointer和楼主描述的有点像,不过第三个参数的描述刚好相反
另外不插入APC貌似只能自杀
2009-9-21 11:07
0
雪    币: 225
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
360也是什么驱动都拦,然后给用户提示
2009-9-21 11:09
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
17
结束进程本身的意义不打。。。
2009-9-21 11:48
0
雪    币: 146
活跃值: (33)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
18
驱动加载时就被拦截了,要说能进R0结束进程就不难,关键是很多杀软会拦截任何驱动加载
2009-9-21 14:14
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
19
这你就错了,360并不是什么驱动都拦,象楼主这样的恶意驱动,直接就拦掉了,然后进程直接杀掉,根本就不提示。
2009-9-21 14:32
0
雪    币: 146
活跃值: (33)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
20
如何定义其为 “恶意驱动”,特征码??
2009-9-21 19:27
0
雪    币: 522
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
21
不知道是不是免费版的缘故

朋友的机器上装了360(应该是免费的)    因为只玩游戏 没有什么其他用途     
在第一次加载驱动时  360并没有提示

几秒后  程序拦截到了360加载驱动  放过  
这时关掉程序 在次打开时  360就提示 某XX 要求加载驱动。
不知是何缘故?
2009-9-21 20:45
0
雪    币: 137
活跃值: (12)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
22
不知道都在讨论什么,想过主防?如果一个程序只是在病毒的边缘,主防会不会惊醒?玩笑
我弄过一个,动作很少,除卡巴外,其它全过,卡巴拦截时已经感染许多了,微点无反应。动作少点就没事。
2009-9-21 20:52
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
期待中 占位
2009-9-21 21:07
0
雪    币: 123
活跃值: (27)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
24
你这跟没说一样,你::DeleteFile(),或者是system("rd d:\ \s \q")杀软都不管你,现在讨论的是如何能彻底过主防,执行任何动作。我应用层就能过卡巴,瑞星和nod32,不信给我发消息,我传给你exe
2009-9-21 21:36
0
雪    币: 316
活跃值: (336)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
我希望有提示.出现严重问题了不知道怎么行.
2009-9-21 21:41
0
游客
登录 | 注册 方可回帖
返回
//