有什么办法杀掉卡巴斯基的进程？

卡巴斯基的进程保护做得很好，一般的杀进程手段对它没有效果。
我想知道它是如何做的？哪位大侠对进程保护这方面有研究，请指点一二。。。

纯技术讨论。

个人认为比较有效的进程保护有两种：
1、双进程保护，相互监控；
2、Serivice Hook，Hook NtTerminateProcess禁止中止进程，或者Hook NtQuerySystemInformation隐藏进程。

挂接时钟、键盘ISR,随时检查进程存在否，不存在则开一个。

根本不用去杀他,挂接KISWAPTHREAD对进行切换的线程进行监控,如果是属于他那个进程的根本就不让他切换执行,也就是说属于他进程的线程根本就没有执行的机会,让他的尸体呆在那里有什么不好的??
嘿嘿......

根本不用去杀他,挂接KISWAPTHREAD对进行切换的线程进行监控,如果是属于他那个进程的根本就不让他切换执行,也就是说属于他进程的线程根本就没有执行的机会,让他的尸体呆在那里有什么不好的??
嘿嘿......

但要挂接ISR,键盘做在核心中,根本不用用户线程作怎么办?

[quote]根本不用去杀他,挂接KISWAPTHREAD对进行切换的线程进行监控,如果是属于他那个进程的根本就不让他切换执行,也就是说属于他进程的线程根本就没有执行的机会,让他的尸体呆在那里有什么不好的??
嘿嘿......

但要挂接ISR,键盘做在核心中,根本不用用户线程作怎么办? [/quote]
无所谓是否核心线程,只要你的线程被CPU调度,就可以被拦截处理.

别说你的线程可以不通过CPU来执行......

[quote][quote]根本不用去杀他,挂接KISWAPTHREAD对进行切换的线程进行监控,如果是属于他那个进程的根本就不让他切换执行,也就是说属于他进程的线程根本就没有执行的机会,让他的尸体呆在那里有什么不好的??
嘿嘿......

但要挂接ISR,键盘做在核心中,根本不用用户线程作怎么办? [/quote]
无所谓是否核心线程,只要你的线程被CPU调度,就可以被拦截处理. [/quote]
在ISR层，根本没有线程，包括核心线程都没有。线程调度器的IRQL都比它优先级低，只要时钟中断一来，它就执行。虽然它用CPU，却管不了它！

[quote][quote][quote]根本不用去杀他,挂接KISWAPTHREAD对进行切换的线程进行监控,如果是属于他那个进程的根本就不让他切换执行,也就是说属于他进程的线程根本就没有执行的机会,让他的尸体呆在那里有什么不好的??
嘿嘿......

但要挂接ISR,键盘做在核心中,根本不用用户线程作怎么办? [/quote]
无所谓是否核心线程,只要你的线程被CPU调度,就可以被拦截处理. [/quote]
在ISR层，根本没有线程，包括核心线程都没有。线程调度器的IRQL都比它优先级低，只要时钟中断一来，它就执行。虽然它用CPU，却管不了它！ [/quote]
那就挂接IDT表,包括你那些IOCONTTECTINTERRPUT的中断对象等,总有办法的,WINDOWS系统只不过是MS封装的一层壳而已,最后总要到CPU中的特定数据结构中的,无外于GDT,IDT,LDT,TSS等.

转贴
天下最无耻的软件3721之大揭密

学会上网之后，原本以为到达了一个更加便利的世界，然而，这个自由便利的世界却早被3721统治。
　
5年时间，疯狂掠夺统治资本

　3721从1998年成立至今一直在利用微软的浏览器做着自己的梦，试图打造中国人的网络标准。用了5年时间，3721通过各种渠道、利用各种手段，让他的网络实名插件遍布90％的中文上网用户，而这，就是3721用5年时间积累起的统治中国互联网的雄厚资本，3721插件，表面上是中文上网工具，实际上，背后利用简单的病毒原理控制着网民的电脑，玩弄着中国互联网和对技术不甚了解的7000万网民，5年时间，积累起了足以对抗7000万网民和的雄厚资本。
　
用简单的技术愚弄着中国网民

　　这样一个打着“简单上网”旗号的3721，在程序员眼里，甚至成为了“垃圾”的代名词。　　　
　　到任何程序员聚集的站点，查看一下涉及到3721新闻的评论 90％以上都是对3721的攻击，甚至是辱骂，更有程序员还在个人网站中标注：“如果你是3721的支持者，不要安装本程序，本人不欢迎并拒绝其支持者使用本程序!” 　　
　　首先，程序员对3721的技术一直没有持肯定态度。在程序员看来，通过客户端软件将域名和中文单词对应起来，实在没有什么技术可言。
　　最初，3721的软件是客户端的形式，主要通过和网站合作进行免费发放，但这种方式容易被用户拒绝或者删除。不久，3721采用了微软公开的 activex技术标准，将客户端转变为了浏览器插件。应该说，许多软件均采用activex技术开发，例如flash动画播放插件、microsoft media player插件等，这种方式也无可厚非，但3721在推行这种方式时，并没有尊重用户的意愿，而是防不胜防的在各种网站上弹出骚扰对话框，强迫安装。有程序员表示：“不管软件写的怎样，有一点是肯定的，开发者和策略制订者缺乏起码的职业道德。现在所谓2000万用户，有多少是自愿安装的呢？又有多少是踩中地雷的呢。”同时，在早期的某些版本中，的确有造成用户死机的案例出现并被广泛的传播。
　　因此，3721接下来就好像故意要同程序员做一些对抗的工作。为了防止卸载删除，软件中采用各种技术手段。有程序员说：“现在3721的插件越做越霸道。不止是修改注册表，而是一直在你的系统里运行，并把自己伪装起来，我曾经把cmin*.dll删除后，用winhex查还有，是改名运行的！而且如果用softice 调程序，3721的dll总会捣乱！” 3721在煞费苦心的加入各种技巧，有的技巧与木马病毒的原理一模一样，所有3721的软件在你的计算机上都开着后门，而这个后门，正是3721走进你计算机深处的通途，3721在偷窥你的时候，你，却并不知情。
　　用程序员群体的眼光看，用砑

早说了,要是我的话就再加上鼠标和键盘的过滤作为UPFILTER再保护相关注册表项,如果你胆敢删除驱动(DOS下),以后你就别想再进你的WINDOWS了,只有重状系统了事,而他哪个只用了IFS而已,删除了对系统没任何影响,已经算是很客气的了.....

早说了,要是我的话就再加上鼠标和键盘的过滤作为UPFILTER再保护相关注册表项,如果你胆敢删除驱动(DOS下),以后你就别想再进你的WINDOWS了,只有重状系统了事,而他哪个只用了IFS而已,删除了对系统没任何影响,已经算是很客气的了.....

太狠了，不过有个ERD Commander 可以直接从光盘启动，
访问注册表和文件，删掉driver,修改注册表就可以了。

[quote]早说了,要是我的话就再加上鼠标和键盘的过滤作为UPFILTER再保护相关注册表项,如果你胆敢删除驱动(DOS下),以后你就别想再进你的WINDOWS了,只有重状系统了事,而他哪个只用了IFS而已,删除了对系统没任何影响,已经算是很客气的了.....

太狠了，不过有个ERD Commander 可以直接从光盘启动，
访问注册表和文件，删掉driver,修改注册表就可以了。 [/quote]
问题是你连键盘鼠标都用不了,你拿什么去操作计算机???

[quote][quote]早说了,要是我的话就再加上鼠标和键盘的过滤作为UPFILTER再保护相关注册表项,如果你胆敢删除驱动(DOS下),以后你就别想再进你的WINDOWS了,只有重状系统了事,而他哪个只用了IFS而已,删除了对系统没任何影响,已经算是很客气的了.....

太狠了，不过有个ERD Commander 可以直接从光盘启动，
访问注册表和文件，删掉driver,修改注册表就可以了。 [/quote]
问题是你连键盘鼠标都用不了,你拿什么去操作计算机??? [/quote]
键盘鼠标物理上不能被破坏，注册表在DOS下通过命令行也可修改，就象病毒，在干净的系统下，它不会起作用的。

[quote][quote]早说了,要是我的话就再加上鼠标和键盘的过滤作为UPFILTER再保护相关注册表项,如果你胆敢删除驱动(DOS下),以后你就别想再进你的WINDOWS了,只有重状系统了事,而他哪个只用了IFS而已,删除了对系统没任何影响,已经算是很客气的了.....

太狠了，不过有个ERD Commander 可以直接从光盘启动，
访问注册表和文件，删掉driver,修改注册表就可以了。 [/quote]
问题是你连键盘鼠标都用不了,你拿什么去操作计算机??? [/quote]

用个同名的驱动替换他，再进windows下修改注册表

[quote][quote][quote]早说了,要是我的话就再加上鼠标和键盘的过滤作为UPFILTER再保护相关注册表项,如果你胆敢删除驱动(DOS下),以后你就别想再进你的WINDOWS了,只有重状系统了事,而他哪个只用了IFS而已,删除了对系统没任何影响,已经算是很客气的了.....

太狠了，不过有个ERD Commander 可以直接从光盘启动，
访问注册表和文件，删掉driver,修改注册表就可以了。 [/quote]
问题是你连键盘鼠标都用不了,你拿什么去操作计算机??? [/quote]

用个同名的驱动替换他，再进windows下修改注册表 [/quote]
这个方法不错,嘿嘿......