冰刃能关江民KV2008吗?谈谈《杀软金钟罩》
冰刃能关江民KV2008吗?谈谈《杀软金钟罩》计算机新病毒呈现的能够关闭杀毒软件的普遍特征,已经让杀毒软件自我保护功能显得十分重要。从“熊猫烧香”开始,到“磁碟机”病毒,杀毒软件的自我保护技术一次又一次地被提起和反复强调。
近日,网上出现一篇作者不详的《无招胜有招 杀软金钟罩》的文章,作者很详细地对市面上几款主流的国内外杀毒软件自我保护技术进行了详细的测试,我看了以后,把作者的测试结果总结为四大类别。
第一类杀毒软件基本不具备自我保护技术,在系统任务管理器中即可被关闭的杀毒软件,如金山毒霸2008;
第二类是具有初步的自我保护技术,在系统任务管理器中无法关闭其进程,但使用专业进程管理工具软件(如“冰刃”)中则进程被关闭,包括:瑞星2008、卡巴斯基7.0、Macfee(企业版)、超级巡警v4.0等;
第三类是具有一定的专业自我保护技术,在任务管理器中无法关闭进程,但在专业进程管理工具软件(如“冰刃”)中,进程被关闭后又自动重建的杀毒软件,此类软件包括NOD32。
第四类即是无论在任务管理器,还是在任一款专业进程管理工具中(包括“冰刃”、“狙剑”、“Wsyscheck”),进程都无法被关闭的杀毒软件,此类软件目前只有江民杀毒软件KV2008一款。
笔者对该文的所有测试都重新测试了一遍,基本上和文中所说相符,可见作者也是花了一番功夫的。然而,文章中有一段描述让我很不明白,作者认为“虽说江民的‘金钟罩’是挺厉害,但也并不是‘冰刃’灭不掉它,只要在冰刃中设置选中‘禁止进线程创建’,则江民不再现矣~~但还是得佩服下江民的厉害!呵呵~~ ”。然而我将“冰刃”选中“禁止进线程创建”,重复多次选择结束江民杀毒软件进程“KVmonXP.KXP”,该进程丝毫不为所动。事后想了一下,江民KV2008并非是使用进程关闭后自动重建的技术保护进程的,所以说使用“冰刃”的“禁止进线程创建”对KV2008并不起作用,显然是作者想当然以为江民也使用了进线程重建的保护方法了,这也是整篇文章中最严重的一处败笔吧。
总的来说,《无招胜有招 杀软金钟罩》一文把平时被大家忽略的杀毒软件自我保护功能全面地总结了一遍,这在目前涌现出大量能够关闭杀毒软件的病毒情况下,显得十分重要,也不失为电脑用户选择杀毒软件时参考的重要依据之一吧。 江民这么厉害啊,费而呢?
回复 2楼 a2695717 的帖子
先不用请冰刃老大出场··请LS打开CMD 输入 ntsd -t -s -pn twister.exe [quote]原帖由 [i]spicalhook[/i] 于 2008-7-29 16:38 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4280815&ptid=294765][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
先不用请冰刃老大出场··
请LS打开CMD 输入 ntsd -t -s -pn twister.exe [/quote]
这个是啥意思?? 费尔V7对基本没有自我保护,不过费尔每天更新的病毒数量巨多[:01:]
回复 4楼 luoice 的帖子
一个调试程序,twister.exe是宿主,运行时ntsd附着在宿主上,ntsd退出时,宿主同时强制退出。 再厉害,就是Ring0,组策略照样秒[:xi17:] [:xi17:] [quote]第三类是具有一定的专业自我保护技术,在任务管理器中无法关闭进程,但在专业进程管理工具软件(如“冰刃”)中,进程被关闭后又自动重建的杀毒软件,此类软件包括NOD32[/quote]直接运行(3.0版)
sc config ekrn start= disabled
然后运行:net stop ekrn
你看他进程还存在不...........
NOD32应该属于第一类,任务管理器可以结束的[:04:] ,只不过用服务重启罢了,直接使用sc delete ekrn
然后运行:taskkill /im ekrn.exe /f
OK,NOD32失去保护..
要是不甘心还可以再加上一句:taskkill /im egui.exe /f
然后删除NOD32目录下的所有文件(会有2、3个右键菜单文件删除不掉,删除不掉的部分也是没用的了,杀不了毒)
NOD32就这样挂了...
[[i] 本帖最后由 aarwwefdds 于 2008-7-30 20:45 编辑 [/i]] 微点的自我保护是很好的。我记得论坛上原来有一个测试。 确实,我试过,就算选上“禁止进线程创建”,KV2008依然屹立不倒
页:
[1]