火绒安全软件

标题: 杀毒软件是怎么被杀掉的？ [打印本页]

作者: WLH 时间: 2021-5-28 19:54
标题: 杀毒软件是怎么被杀掉的？
现在很多工具，如PCHunter之类的，都可以在无提示的情况下杀掉火绒、360之类的杀软，怎么做到的？要怎么才能绕过杀毒软件的驱动和hook的防护？

作者: skystars 时间: 2021-5-28 21:38
因为PCHunter会加载驱动
从r0层结束杀毒软件

作者: WLH 时间: 2021-5-29 20:01

skystars 发表于 2021-5-28 21:38
因为PCHunter会加载驱动
从r0层结束杀毒软件

但杀软不是也在Ring0里有驱动吗？

作者: huolongguo10 时间: 2021-6-2 20:27

WLH 发表于 2021-5-29 20:01
但杀软不是也在Ring0里有驱动吗？

您想想，在r3级a进程杀掉b进程不是很容易吗

作者: wing-summer 时间: 2021-6-3 11:53

WLH 发表于 2021-5-29 20:01
但杀软不是也在Ring0里有驱动吗？

理论上是没有杀不死的进程的，就算是杀毒软件。杀毒软件最基本的自保就是对关进程相关的内核API挂钩子，如果我自己用驱动实现一个关进程的API，供三环的程序调用，杀毒软件没对我实现的关进程API挂钩子，又没杀掉我的驱动，他也就没了。

作者: WLH 时间: 2021-6-3 19:08

huolongguo10 发表于 2021-6-2 20:27
您想想，在r3级a进程杀掉b进程不是很容易吗

这拒绝访问是怎么搞的？

作者: skystars 时间: 2021-6-3 20:46

WLH 发表于 2021-6-3 19:08
这拒绝访问是怎么搞的？

hook TerminateProcess

作者: WLH 时间: 2021-6-4 18:20

wing-summer 发表于 2021-6-3 11:53
理论上是没有杀不死的进程的，就算是杀毒软件。杀毒软件最基本的自保就是对关进程相关的内核API挂钩子， ...

所以，要搞事情，只要调用冷门API进内核就行了是吗？

作者: wing-summer 时间: 2021-6-4 19:34

WLH 发表于 2021-6-4 18:20
所以，要搞事情，只要调用冷门API进内核就行了是吗？

通过系统API进入内核态是不行的，必须要驱动才能，冷门API是进不了内核态，虽然函数实现是在内核实现的。你真想搞事情，必须要驱动，直接搞事情。如果三环程序提权，驱动在gdt表建立调用门或者中断门之类让三环程序调用，从而实现提权，才能真正搞事情。除非你发现系统漏洞，可能不用那么麻烦。

作者: 重庆客运段 时间: 2021-6-4 22:45

wing-summer 发表于 2021-6-4 19:34
通过系统API进入内核态是不行的，必须要驱动才能，冷门API是进不了内核态，虽然函数实现是在内核实现的。 ...

如果直接加载驱动，火绒等安全软件基本就直接暴露在恶意软件下了。如果进行反制，多半会搞蓝屏。所以Windows最近才在收紧驱动加载吧

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)