挑战2009年主动防御，方法分享！

fate0211

ring0的方法还是很实用的，也很好。过主动首先，至于启动可以利用activex来启动。国外的远控一般都用。

76514996

貌似新一代的远程控制过不了所谓的主动防御，卡巴2009主防与360提示+360保险箱更是让以前的精品变成经典，没办法的事实，随着时间的推移，2009年杀毒纷纷登场，远控应该怎么应对呢？
我只是说下思路，程序这类自己写！
ring3下可以用的方法：
模拟点击（最笨最好写），替换服务时替换指定服务的dll文件（很不稳定，兼容性也不好），FindWindow(WFP提示)----PostMessage(发送消息关闭windows文件保护窗体，每个语言的版本都不同，感觉这个不太实际。据说可以free掉winlogon进程里的sfc.dll sfc_os.dll，大家自己试试吧)，用劫持dll的方法(通用性不是很好)，中转导出函数的方法，也可以先取消文件保护，再感染系统dll的IAT (感染系统文件，相当有难度的，微软不是吃素的，同时也要关掉WFP的提示)，通过杀毒软件的盲点（这个就不多说了）。
对于vista的系统，还需要取消uac保护。还是很麻烦的。

ring0下可以用的方法：
恢复ssdt（相当常用），shadowssdt，inline对抗解决掉保险箱的hook （驱动不好加载上）。

更有人可以写硬盘磁道，bios，显卡（都是些牛XX）。
我也只能说说我知道的方法，说的不对的，大家也可以提出来。
共享出来只是开拓大家的思路，不要老在死胡同里转！