rayyang2000
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2012-09-13
  • 粉丝3
  • 关注0
  • 积分1036分
  • 威望925点
  • 贡献值3点
  • 好评度823点
  • 原创分0分
  • 专家分0分
40楼#
发布于:2007-01-18 11:32
引用第35楼killvxk2007-01-17 20:32发表的“”:



Ring3找到该进程的窗体,让后把该窗体的WinProc设置往无效地址。
然后再看看,卡巴基斯会不会自己死掉~


虽然没有仔细研究过KAV,但一般核心的功能都是做在SERVICE中,没有窗口的。这样貌似只能杀掉tray app或者界面程序。
天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
41楼#
发布于:2007-01-18 16:28
SERVICE的话,可能更简单点,发布关机消息试试
没有战争就没有进步 X3工作组 为您提供最好的军火
123456789012
驱动牛犊
驱动牛犊
  • 注册日期2006-04-07
  • 最后登录2009-11-08
  • 粉丝0
  • 关注0
  • 积分80分
  • 威望61点
  • 贡献值0点
  • 好评度60点
  • 原创分1分
  • 专家分0分
42楼#
发布于:2007-01-18 23:58
引用第41楼killvxk2007-01-18 16:28发表的“”:
SERVICE的话,可能更简单点,发布关机消息试试

向Service发布关机消息?PostMessage?WM_ENDSESSION?CTRL_SHUTDOWN_EVENT?
rayyang2000
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2012-09-13
  • 粉丝3
  • 关注0
  • 积分1036分
  • 威望925点
  • 贡献值3点
  • 好评度823点
  • 原创分0分
  • 专家分0分
43楼#
发布于:2007-01-19 06:38
引用第42楼1234567890122007-01-19 01:58发表的“”:

向Service发布关机消息?PostMessage?WM_ENDSESSION?CTRL_SHUTDOWN_EVENT?


ControlService

不过Service中也可以拒绝这个消息,虽然正式的商业产品中不应该这么做
天天coding-debugging中----超稀饭memory dump file ======================================================== [b]Windows Device Driver Development and Consulting Service[/b] [color=blue][url]http://www.ybwork.com[/url][/color] ========================================================
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
44楼#
发布于:2007-02-05 14:05
筑一道篱笆比较难,拆一道篱笆应该比较容易吧。在内核里面可以遍历到主进程的基地址吧。也可以查找卡巴调用的相关dll的基地址,比如shell32.dll。驱动里面是可以patch这些knowndll的。让这些dll调用触发一个异常,卡巴不就跳出来了。
可以参考
http://www.codeproject.com/system/NoDeleteDelay.asp
无处不在的内存patch,总可以让一个进程或者驱动死掉。流氓软件再恶,如果对它所谓hook进行patch的话,一个jmp指令就可以让它所做有hook白费。
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
45楼#
发布于:2007-02-05 14:50
前一段看到一个通过apc让explorer调用winexec,在驱动里面启动进程的例子,如果explorer换成卡巴,winexec换成exitprocess,会不会就自动退了出来。只是没有注意apc的实现有没有调用ntopenprocess。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
46楼#
发布于:2007-02-05 16:31
引用第44楼guaiguaiguan2007-02-05 14:05发表的“”:
筑一道篱笆比较难,拆一道篱笆应该比较容易吧。在内核里面可以遍历到主进程的基地址吧。也可以查找卡巴调用的相关dll的基地址,比如shell32.dll。驱动里面是可以patch这些knowndll的。让这些dll调用触发一个异常,卡巴不就跳出来了。
可以参考
http://www.codeproject.com/system/NoDeleteDelay.asp
无处不在的内存patch,总可以让一个进程或者驱动死掉。流氓软件再恶,如果对它所谓hook进行patch的话,一个jmp指令就可以让它所做有hook白费。

但是流氓可以不考虑稳定性,你要考虑;)
看看guaiguai是在做小众用户安全软件哦?
驱动开发者 呵呵
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
47楼#
发布于:2007-02-05 17:14
我做安全,从来不会强制卡巴退出,即使与卡巴发生冲突,我宁愿牺牲自己,也让卡巴好好活着。

既然已经处于恶意,让别人死掉了,还在乎别人是体面退出还是异常退出?反正都是死,当然能够安乐死再好不过了。
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
48楼#
发布于:2007-02-05 17:22
不要试图解决所有的问题,应用能做的尽量不在内核做。稳定压倒一切,就像vcmfc说的,360safe至少有400万的装机量,稳定性是它考虑的首要问题。
   如果工具只是自己用,这样的工具甚至不用设计,找一个WinPE,爱怎么删,就怎么删。如果是给别人使用,无论功能多强,如果不稳定,用户也不会认可。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
49楼#
发布于:2007-02-05 18:20
引用第48楼guaiguaiguan2007-02-05 17:22发表的“”:
不要试图解决所有的问题,应用能做的尽量不在内核做。稳定压倒一切,就像vcmfc说的,360safe至少有400万的装机量,稳定性是它考虑的首要问题。
   如果工具只是自己用,这样的工具甚至不用设计,找一个WinPE,爱怎么删,就怎么删。如果是给别人使用,无论功能多强,如果不稳定,用户也不会认可。

当然是要稳定,要稳定你就连patch也不能做:D
另外,360有2000W
驱动开发者 呵呵
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
  • 社区居民
  • 最爱沙发
  • 社区明星
50楼#
发布于:2007-02-05 19:13
2000w绝对是吹牛,我就贡献了不下100次以上安装量.hehe

但一般情况下360都是安全套,用了就扔,并不会长驻的.最长的时间也就是需要安装卡吧时,能多活几分钟.hehe
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
51楼#
发布于:2007-02-05 21:34
QQ也不过几千万,360有2000万?不信,绝对不信.给我钱也不信.
guaiguaiguan
驱动中牛
驱动中牛
  • 注册日期2003-10-11
  • 最后登录2011-01-12
  • 粉丝0
  • 关注0
  • 积分14分
  • 威望556点
  • 贡献值0点
  • 好评度490点
  • 原创分0分
  • 专家分0分
52楼#
发布于:2007-02-05 21:38
不能patch,于是360safe就占坑了,占坑是我在这个论坛最早为它起的名字,刚开始在这里发帖讨论流氓软件的时候,大家都没有引起注意,killvxk还没有来这里,当然mj也是后来者。wowocock当时也没有对流氓软件问题当回事,知道后来360safe和雅虎火并的时候,才有了流氓软件这个板块,很多贴子都是从kernel转过来的。
  
  
  有过反恶意软件的问题,应该是一直跟踪着这个话题的,并向酒肉和尚讨教过,特别是杀cnnic那段代码。也看过酒肉和尚关于钩子函数哪个帖子。当然也在360的bbs里面注册过马甲,是为了下载用户提交的附件。不过几乎没有在那里发过帖子。
  最初很瞧不起周的做法,后来慢慢就疲劳了,反正他不是继续做恶。瑞星卡卡也用过,360safe也用过,反正用的时候感觉总是有一些顽固恶意软件杀不掉,不过有360safe也省了很多事,自己也懒去手工去清,一般清完就删。360safe不过自动升级部分做的不错,挺好用的。我们公司用360safe就是为了 打补丁,打完就卸然而把它卸掉。
   平时少用IE,没什么恶意软件上门,倒是找恶意软件研究的时候,反倒到处找不着,包括my123。于是就经常去360safe下载安装程序,然后拆解一下那个驱动。都是出于学习目的。可以说所有有关360safe的话题大多都是guaiguai抛的砖头,引来了doskey的金玉。
   当然当初从cnbeta转帖的时候,也曾因为谁是枪手问题和WQXNETQIQI干了“一仗”。我很欣赏google那句名言,“永不做恶”。

  至于要不要用patch,楼上各位都是大师级,不敢班门弄斧,不过可以相信程序没有百分之百的稳定,所有的稳定都是从不稳定中走过来的。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
53楼#
发布于:2007-02-05 23:54
占坑这个名字貌似N年前就有了  
现在360也根本不占任何坑,只有雅虎和CNNIC还在那里无聊地拼启动顺序 ~~~

   
驱动开发者 呵呵
linestyle
驱动小牛
驱动小牛
  • 注册日期2004-01-28
  • 最后登录2010-01-05
  • 粉丝0
  • 关注0
  • 积分1000分
  • 威望139点
  • 贡献值0点
  • 好评度135点
  • 原创分0分
  • 专家分0分
54楼#
发布于:2007-02-06 11:47
 自己做个360精简版呗,很简单的
我就自己做了个,现在只是几个朋友用,还没有往外放,呵呵
loading is waiting ...
Sucsor
驱动牛犊
驱动牛犊
  • 注册日期2005-02-05
  • 最后登录2007-03-27
  • 粉丝0
  • 关注0
  • 积分253分
  • 威望26点
  • 贡献值0点
  • 好评度25点
  • 原创分2分
  • 专家分0分
55楼#
发布于:2007-03-08 12:07
引用第38楼1234567890122007-01-17 23:02发表的“”:
我想到一个,大牛别笑啊~

写入AppInit_DLL项下面,然后等待重启(如果等不及就NtShutdownSystem
重启后所有进程都会有你的DLL,包括那些受到驱动保护的进程。
然后不用我说了吧,DLL如果发现自己所在的进程叫AVP之类的就直接ExitProcess


xx助手就是这样干 xxxsafe的.
iizhoupq
驱动牛犊
驱动牛犊
  • 注册日期2006-08-12
  • 最后登录2011-01-29
  • 粉丝0
  • 关注0
  • 积分180分
  • 威望19点
  • 贡献值0点
  • 好评度18点
  • 原创分0分
  • 专家分0分
56楼#
发布于:2007-05-06 12:56
说心里话,我觉得大家都很搞笑,去找这么深的办法做什么呢
可以解决问题就行了
让卡吧无法工作和结束卡吧进程有什么区别呢
我直接修改系统的日期
写个定时器不停的修改系统的日期
卡吧就没有用了
程序员要用最好的方法去解决问题而不是浪费时间
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
57楼#
发布于:2007-05-06 17:12
恢复NtTerminateProcess,杀!
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
58楼#
发布于:2007-05-07 02:14
iizhoupq
这个无耻的东西真不是一般的贱啊

干掉卡巴很简单,把卡巴目录拖入filekill360,全选,粉碎,重启~~
驱动开发者 呵呵
zjjmj2002
驱动小牛
驱动小牛
  • 注册日期2007-04-05
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分15分
  • 威望321点
  • 贡献值0点
  • 好评度224点
  • 原创分1分
  • 专家分0分
59楼#
发布于:2007-07-01 21:49
俺写过一个,不知现在还能用不。
附件名称/大小 下载次数 最后更新
结束卡.rar (4KB)  65 2007-07-01 21:49
游客

返回顶部