360最新cnnic专杀工具-360SuperKill“破冰”技术逆向分析
来源:互联网 发布:十二楼李渔知乎 编辑:程序博客网 时间:2024/05/18 01:20
破冰技术简介(新闻里看到的):
CODE:
[Copy to clipboard]
破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因.而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护.
安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”.“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因.
花了两天时间逆向360安全卫士鼓吹的他们的“破冰”技术,结果发现,360的驱动代码写得比较龌龊,很多地方存在不安全因素,强制脱所有FileSystem Filter Driver链,使一些依赖FileSystem Filter Driver的正常软件(很多杀软依赖于Filter Driver)无法正常工作。。。需要重启后再用360查杀。。。安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”.“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因.
360的cnninc专杀应用层居然是用易语言写的。。。汗。。。
我前段时间自己也写了个反流氓引擎,不需要恢复什么,不脱链,直接击穿cnnic的所有保护,干净的干掉它而不需要重启。。。跟360的引擎相比要略胜一筹,心中窃喜。。。
360所谓的破冰技术有以下几点:
1. 恢复FSD Hook
2. 恢复FSD Inline Hook
3. 直接入FSD发送IRP删除文件
4. 移除SHUTDOWN NOTIFY
5. 移除进程监控通知(没看到杀cninc的时候调用)
6. 移除线程监控通知(没看到杀cninc的时候调用)
7. 移除模块加载通知(没看到杀cninc的时候调用)
具体的完整分析见ida的文件,源代码除了专杀工具没有调用的函数之外,其他的都按照反汇编出来的结果实现还原了,有些代码不尽人意,那是因为原作者就是那样写的代码,我只是忠实的还原出来。。。
用自己的驱动替换原来的驱动:
- 360最新cnnic专杀工具-360SuperKill“破冰”技术逆向分析
- 逆向分析工具介绍
- 逆向技术分析基础
- 逆向分析技术总结
- 鄙视 CNNIC中文上网 ,感谢360
- 逆向分析技术学习小结
- 逆向分析技术总结(转)
- 170512 逆向-静态分析技术
- 逆向-360逆向writeup
- 【逆向】逆向工厂(二):静态分析技术
- 《逆向工程核心原理》》<06> 高级逆向分析技术
- Android逆向分析工具ded的使用
- 路由器逆向分析------binwalk工具的安装
- Android使用逆向技术分析手机恶意代码
- Android逆向分析基础-反破解技术
- Android逆向入门-静态分析技术
- Android逆向分析之静态分析工具篇
- 逆向工具
- [3-21]论web项目小组的流程以及成员该如何组成
- 初学者分析MFC代码2
- WebService中实现 上传下载文件
- 使用 WebLogic Server 开发Spring 应用程序参考
- 初学者分析MFC代码3
- 360最新cnnic专杀工具-360SuperKill“破冰”技术逆向分析
- C#实现Socket传输简单数据
- 扭曲变换加密
- java 调用存储过程
- 一个jdbc的例子(包含sql语句的批处理,事务处理,数据绑定prepare,)
- 股票的内外盘(转贴收藏)
- Fedora Core 6 服务详解
- Oracle中大批量删除数据的方法
- jQuery中文入门指南,翻译加实例,jQuery的起点教程