引用第35楼killvxk于2007-01-17 20:32发表的“”:



Ring3找到该进程的窗体，让后把该窗体的WinProc设置往无效地址。
然后再看看，卡巴基斯会不会自己死掉~

虽然没有仔细研究过KAV，但一般核心的功能都是做在SERVICE中，没有窗口的。这样貌似只能杀掉tray app或者界面程序。

SERVICE的话，可能更简单点，发布关机消息试试

引用第41楼killvxk于2007-01-18 16:28发表的“”:
SERVICE的话，可能更简单点，发布关机消息试试

向Service发布关机消息？PostMessage？WM_ENDSESSION？CTRL_SHUTDOWN_EVENT？

引用第42楼123456789012于2007-01-19 01:58发表的“”:

向Service发布关机消息？PostMessage？WM_ENDSESSION？CTRL_SHUTDOWN_EVENT？

ControlService

不过Service中也可以拒绝这个消息，虽然正式的商业产品中不应该这么做

筑一道篱笆比较难，拆一道篱笆应该比较容易吧。在内核里面可以遍历到主进程的基地址吧。也可以查找卡巴调用的相关dll的基地址，比如shell32.dll。驱动里面是可以patch这些knowndll的。让这些dll调用触发一个异常，卡巴不就跳出来了。
可以参考
http://www.codeproject.com/system/NoDeleteDelay.asp
无处不在的内存patch，总可以让一个进程或者驱动死掉。流氓软件再恶，如果对它所谓hook进行patch的话，一个jmp指令就可以让它所做有hook白费。

前一段看到一个通过apc让explorer调用winexec，在驱动里面启动进程的例子，如果explorer换成卡巴，winexec换成exitprocess，会不会就自动退了出来。只是没有注意apc的实现有没有调用ntopenprocess。

引用第44楼guaiguaiguan于2007-02-05 14:05发表的“”:
筑一道篱笆比较难，拆一道篱笆应该比较容易吧。在内核里面可以遍历到主进程的基地址吧。也可以查找卡巴调用的相关dll的基地址，比如shell32.dll。驱动里面是可以patch这些knowndll的。让这些dll调用触发一个异常，卡巴不就跳出来了。
可以参考
http://www.codeproject.com/system/NoDeleteDelay.asp
无处不在的内存patch，总可以让一个进程或者驱动死掉。流氓软件再恶，如果对它所谓hook进行patch的话，一个jmp指令就可以让它所做有hook白费。

但是流氓可以不考虑稳定性，你要考虑；）
看看guaiguai是在做小众用户安全软件哦？

我做安全，从来不会强制卡巴退出，即使与卡巴发生冲突，我宁愿牺牲自己，也让卡巴好好活着。

既然已经处于恶意，让别人死掉了，还在乎别人是体面退出还是异常退出？反正都是死，当然能够安乐死再好不过了。

不要试图解决所有的问题，应用能做的尽量不在内核做。稳定压倒一切，就像vcmfc说的，360safe至少有400万的装机量，稳定性是它考虑的首要问题。
   如果工具只是自己用，这样的工具甚至不用设计，找一个WinPE，爱怎么删，就怎么删。如果是给别人使用，无论功能多强，如果不稳定，用户也不会认可。

引用第48楼guaiguaiguan于2007-02-05 17:22发表的“”:
不要试图解决所有的问题，应用能做的尽量不在内核做。稳定压倒一切，就像vcmfc说的，360safe至少有400万的装机量，稳定性是它考虑的首要问题。
   如果工具只是自己用，这样的工具甚至不用设计，找一个WinPE，爱怎么删，就怎么删。如果是给别人使用，无论功能多强，如果不稳定，用户也不会认可。

当然是要稳定，要稳定你就连patch也不能做：D
另外，360有2000W

2000w绝对是吹牛,我就贡献了不下100次以上安装量.hehe

但一般情况下360都是安全套,用了就扔,并不会长驻的.最长的时间也就是需要安装卡吧时,能多活几分钟.hehe

QQ也不过几千万,360有2000万?不信,绝对不信.给我钱也不信.

不能patch，于是360safe就占坑了，占坑是我在这个论坛最早为它起的名字，刚开始在这里发帖讨论流氓软件的时候，大家都没有引起注意，killvxk还没有来这里，当然mj也是后来者。wowocock当时也没有对流氓软件问题当回事，知道后来360safe和雅虎火并的时候，才有了流氓软件这个板块，很多贴子都是从kernel转过来的。
  
  
  有过反恶意软件的问题，应该是一直跟踪着这个话题的，并向酒肉和尚讨教过，特别是杀cnnic那段代码。也看过酒肉和尚关于钩子函数哪个帖子。当然也在360的bbs里面注册过马甲，是为了下载用户提交的附件。不过几乎没有在那里发过帖子。
  最初很瞧不起周的做法，后来慢慢就疲劳了，反正他不是继续做恶。瑞星卡卡也用过，360safe也用过，反正用的时候感觉总是有一些顽固恶意软件杀不掉，不过有360safe也省了很多事，自己也懒去手工去清，一般清完就删。３６０ｓａｆｅ不过自动升级部分做的不错，挺好用的。我们公司用３６０safe就是为了 打补丁，打完就卸然而把它卸掉。
   平时少用IE，没什么恶意软件上门，倒是找恶意软件研究的时候，反倒到处找不着，包括my123。于是就经常去360safe下载安装程序，然后拆解一下那个驱动。都是出于学习目的。可以说所有有关360safe的话题大多都是guaiguai抛的砖头，引来了doskey的金玉。
   当然当初从ｃｎｂｅｔａ转帖的时候，也曾因为谁是枪手问题和WQXNETQIQI干了“一仗”。我很欣赏ｇｏｏｇｌｅ那句名言，“永不做恶”。

  至于要不要用ｐａｔｃｈ，楼上各位都是大师级，不敢班门弄斧，不过可以相信程序没有百分之百的稳定，所有的稳定都是从不稳定中走过来的。

占坑这个名字貌似N年前就有了  
现在360也根本不占任何坑，只有雅虎和CNNIC还在那里无聊地拼启动顺序 ~~~

   

 自己做个３６０精简版呗，很简单的
我就自己做了个，现在只是几个朋友用，还没有往外放，呵呵

引用第38楼123456789012于2007-01-17 23:02发表的“”:
我想到一个，大牛别笑啊～

写入AppInit_DLL项下面，然后等待重启（如果等不及就NtShutdownSystem ）
重启后所有进程都会有你的DLL，包括那些受到驱动保护的进程。
然后不用我说了吧，DLL如果发现自己所在的进程叫AVP之类的就直接ExitProcess

xx助手就是这样干 xxxsafe的.

说心里话，我觉得大家都很搞笑，去找这么深的办法做什么呢
可以解决问题就行了
让卡吧无法工作和结束卡吧进程有什么区别呢
我直接修改系统的日期
写个定时器不停的修改系统的日期
卡吧就没有用了
程序员要用最好的方法去解决问题而不是浪费时间

恢复NtTerminateProcess,杀!

iizhoupq
这个无耻的东西真不是一般的贱啊

干掉卡巴很简单，把卡巴目录拖入filekill360,全选，粉碎，重启~~

俺写过一个，不知现在还能用不。