超级会员免费看
本文介绍了如何通过用户进程打破瑞星2009杀毒软件RavMonD与内核的联系,使得监控功能失效,从而能够自由加载驱动和修改注册表关键内容。测试环境为Windows XP SP3和瑞星2009 21.49.14。尽管可以绕过监控,但作者提醒防守方只需阻止在ring3下获取hooksys句柄即可防止此类攻击。
我写这个纯粹是hacker精神,如果被滥用做病毒木马一类的邋遢东东,可跟偶没关系哦。
原理very简单,我发现瑞星监控主要在RavMonD进程中,如果打破其与内核的联系,则
瑞星监控功能就无法正常工作了,怎么打破联系呢?如果是进内核的话当然有很多的办法,
从而没有挑战性了,况且RavMonD会阻止用户进程去加载驱动或者动注册表的关键地方,
比如run子键。下面上测试代码:
int main(int argc,char *argv[])
{
if(argc != 4)
订阅专栏 解锁全文
扫一扫
评论 6
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
