« 上一篇下一篇 »

杀毒软件的自我保护测试

测试目的:主要是测试监控无提示情况下能破坏哪些杀软

测试方法:
1.SSDT恢复 用syscheck的 不加强化检测(无驱动 仅读写内存)
2.结束进程 不加载驱动 使用软件:syscheck
3.停止服务(net命令停止服务) 主要测试使用net命令停止服务可以破坏哪些保护(病毒也常用这招)
4.删除文件(加载驱动删除杀软的HOOK文件) 使用软件:360filekill unlocker
5.卸载全局钩子 使用软件:syscheck

测试截图:

杀毒软件自我保护


图中文字说明:
测试未通过:
成功(杀软无任何提示下成功操作 监控失效)
测试通过:
失败(该操作被阻止或无法成功)
提示(该操作被提示 有阻止的机会)
蓝屏(不用我解释了吧)
无效(杀软无任何提示下成功操作 但监控仍然有效
无  (杀软无相对应项或无法检测出)
例外情况说明:
(1).卸载全局钩子后部分程序出错 重启shell以后保护失效
(2).基本同2 把360filekill的易语言组件报毒了 unlocker只能部分删除 但是保护仍然被破了
(3).把360filekill的文件报成病毒(易语言组件- -) unlocker不能完全删除 这时再打开病毒程序 虽然有报毒却不能阻止运行 (AVG只有打开文件只才会检查是否有毒 [如果有错麻烦指正])
(4).SSDT恢复可以破坏FS的hips模块 但是无法使病毒监控失效 但是也这时候也可以把进程结束了 保护一样破
(5).结束后打开任何程序假死好一阵子 不过仍然能打开 属于成功那类吧..

注:本文来自于绅博论坛,版权归绅博论坛所有。作者:inerir