论杀毒软件的自我保护和破解,一些思想
看到经常有人问杀毒软件的怎么进行自我保护,XXX不容易被干掉。其实在ring3下安全软件(不使用驱动的普通工具)不容易被干掉是完全正常的,因为他们使用驱动程序进行保护,驱动程序vxd sys是一种特殊的可执行程序,其格式类似普通exe,但有一些不同微软保留着一些秘密,只有使用微软编译器才能生成。驱动程序工作在ring0特权能执行CPU全部指令而不会受到操作系统限制,但是如果没有任何进程或者线程去调用(简单的说是可执行程序exe dll),驱动程序自身无法运行成为一个线程。
杀毒软件通过对底层功能的hook 过滤 重定位等防止自身被终止,但是进入ring0是平等的,因此进入ring0终止进程的工具软件能干掉所有进程。但是如果有这样的杀毒软件,除了建立自身的进程外,还将在别的某进程中创建线程(dll注入),并通过它监控进程的状态,伺机恢复,那么这样的进程表面上难以终止,实际上是被终止后又恢复了,比如 360,还有一些员工监控软件,比如我遇到的“中安源可信网络安全平台”
现在还没有一种软件能终止进程的同时,同时卸载有关隐藏的模块,因此这种保护模式暂时有效。 目前应对的方法是终止进程同时,釜底抽薪删除有关文件,或者禁止访问 比如我编写的fuck 360 ,这样隐藏在别的进程中的模块就没办法了。
杀毒软件或者hips使用驱动本来是一件好事,但是又反过来会被利用,如果有程序利用驱动提供的接口,就是搞清楚了调用功能和参数那么杀毒软件的本身却成为那些程序的助手,这就是上屋抽梯的方法了
那么说的太细,从总的角度讲,恶意程序和杀软将长期共存,不存在没有威胁的绝对安全。卡巴斯基讲“在我眼里没有安全的网络” 洒家说“在我看来都是肉鸡”,大家都是肉鸡,只不过是产业利益和社会分工上的一部分而已,顺天应地,各司其职。一首歌唱的好,“有了梦寐以求的安全软件,是否就算是拥有春天?”