yeah~

哈哈哈.... 对我来说,无论写病毒代码,还是查杀病毒都是一种乐趣...

都8是圣人，都要吃饭的 他们也得养活一群人啊 仅为乐趣的人毕竟还是少

现在的反病毒软件 那可是： 又吹牛B 又被人骂 又赚金钱

超越主动防御？揭开瑞星薄弱的保护防线真面目 看到瑞星2008发布了所谓”超越传统HIPS”、“监控功能比传统HIPS的更全面"的功能，当时为之震惊，难道国产杀毒软件终于开发出了强大的HIPS功能了？ 立刻下了测试版安装，打算进行测试 起初考虑，发布文章中说得如此强大的主动防御技术，是不是需要逆向分析才能清楚呢？ 可惜，事实告诉我们，灰盒就够了 使用Rootkit Unhooker/Gmer工具对安装瑞星2008的机器进行扫描即可得出瑞星的保护究竟在哪了 (1)SSDT HOOK :使用了最原始也是最易恢复的SSDT挂钩方式 挂钩了入下函数: ZwCreateThread、ZwWriteProcessMemory:用于防止远线程注入 ZwLoadDriver:拦截正规通过SCM的驱动加载 ZwSetValueKey、ZwCreateKey、ZwDeleteKey、ZwDeleteKey、ZwDeleteValueKey、ZwRenameKey: 用于拦截注册表操作 ZwTerminateProcess:保护进程不被结束 (2)ShadowTable挂钩:挂钩了两个GDI函数: NtGdiSendInput、NtSetWindowsHookEx 分别用于拦截键盘鼠标模拟输入 和全局钩子 (3)Hook了Tcpip\Ntfs\FastFat\Cdfs等驱动的Dispatch Routine: 用于拦截网络操作、文件操作 (4)Hook了fsd的iat上的上几个函数，和主动防御基本无关

弱点1:鸡肋的自我进程保护： 瑞星在发布文章中说到“开启了瑞星2008的自我保护后，使用Icesword也无法结束其进程”，这句话大家去江民论坛上看看，几天前江民的2008测试版出来的时候，也是说了这么同样一句话，但是，江民是货真价实不能被结束，瑞星呢？ 不用多说，拿ICESWORD测试一下可知，瑞星的所有进程都可以被轻易结束 为什么呢？因为瑞星只挂钩了ssdt上的NtTerminateProcess，这对于使用更底层的方式结束进程的Icesword是完全没有作用的，同时，只要这个钩子被恢复（在瑞星的全面保护下恢复此钩子也是非常容易的，见后面的弱点分析），使用任务管理器即可结束其所有进程（大家可以使用一些具有SSDT恢复功能的工具例如超级巡警、gmer等试试） 这就是所谓强大的“自我保护” 弱点2:注册表监控的多个漏洞 (1)注册表监控使用全路径判断注册表写入键名的方式，这种方式使用一个小技巧就可以饶过： 先打开想要写入的键的上一层键，例如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\,得到句柄后再使用这个句柄+Run来操作这个注册表，即可完全饶过瑞星的所谓“注册表监控”，写入注册表 (2)没有拦截ZwSaveKey\ZwRestroeKey等方式写

弱点3:这个最为致命:没有拦截ZwSetSystemInformation和其他一些穿透主动防御的常用技术 入侵者可以通过ZwSetSystemInformation函数的LoadAndCallImage方法加载一个驱动 非常简单的就可以做想做的操作，比如恢复瑞星那些非常容易被恢复的SSDT钩子，这些网络上都有现成的代码，也有多个木马使用了该技术进行主动防御穿透 其他的弱点就不说了，免得被木马利用（上面所说的只是一些已被广泛公开的方法） 这么多缺点，保护极其薄弱的一个所谓的“主动防御”体系，瑞星也好意思说超越其他主动防御软件，国内杀毒软件厂商的浅薄及浮躁，不言自喻。奉劝瑞星还是好好做好技术，不要再等微点出完主动防御后几年，才出来吹这么一个根本算不上“主动防御”的东西

替天行道.

说得有理，也学习到了好多，3Q

Hook了Tcpip\Ntfs\FastFat\Cdfs 貌似这个上面也会造成兼容性问题

是的，不少驱动会和它的DISPATCH钩子冲突 呵呵

早就听说MJ是高手了，果然出手不凡。学到不少。 哈哈。不过貌似瑞星2008比2007好看些了。说到HIPS还是KV才是王道。

现在是看不懂，但知道事实就已经很有意义了

病毒的编写者为了金钱～反病毒的编写者在自虐～　-_-