找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

本版
查看: 1153|回复: 0

Test For Kis8——绕过卡巴2009的测试 转载

[复制链接]

2

主题

4

回帖

8

牛毛

初生牛犊

积分
8
发表于 2008-9-28 22:52:29 | 显示全部楼层 |阅读模式 来自 河北省唐山市
由rappar创作,感谢rappar分享,原贴地址:http://bbs.kafan.cn/thread-336280-1-1.html

无意中发现的
KIS8的注册表监控还是存在问题,存在被绕过的可能
其实方法还是老方法,就是注册表转储
当然这还不是真正意义上的Hive操作(直接操作HIVE不当容易造成注册表配置的损坏)
但要过KIS也够了
虽然卡巴的驱动Hook了相关函数,但看来是白Hook了
由于低受限默认允许了“保存注册表项到文件”,所以如果程序被分到低受限,这种控制就形同虚设
而且即使禁止了“保存注册表项到文件”,程序也可以事先保存好转储文件再释放,一样可以过卡巴


附测试程序
共三个测试




Test1
修改卡巴HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的注册表启动项




Test2
Test1的修改版,这次可以过高受限了




Test3
映像劫持使卡巴无法启动

其实就是之前的欺骗运行的方法(见http://bbs.kafan.cn/thread-326348-1-1.html),事实上这种欺骗的意义并不在运行程序本身,而是这种欺骗可以绕过卡巴的继承机制,这样危害就大了
例如本测试程序就利用了Reg命令修改了IFEO,同时调用Shutdown关机,重启后卡巴无法启动
注:这种方法在Vista失效


事实上卡巴的注册表监控被绕过意味着什么?——病毒可以利用注册表做任何事
以上的测试所做成的更改都是可以恢复的(请自己手动完成),而且不会对系统构成任何损害,可以放心测试

当然也不排除只是我个别情况,大家可以试试
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-1-23 06:50 , Processed in 0.126474 second(s), 31 queries , Yac On.

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表