杀毒软件是怎么被杀掉的？

WLH · 发表于 2021-5-28 19:54:05

现在很多工具，如PCHunter之类的，都可以在无提示的情况下杀掉火绒、360之类的杀软，怎么做到的？要怎么才能绕过杀毒软件的驱动和hook的防护？

重庆客运段 · 发表于 2021-6-4 22:45:58

wing-summer 发表于 2021-6-4 19:34
通过系统API进入内核态是不行的，必须要驱动才能，冷门API是进不了内核态，虽然函数实现是在内核实现的。 ...

如果直接加载驱动，火绒等安全软件基本就直接暴露在恶意软件下了。如果进行反制，多半会搞蓝屏。所以Windows最近才在收紧驱动加载吧

wing-summer · 发表于 2021-6-4 19:34:09

WLH 发表于 2021-6-4 18:20
所以，要搞事情，只要调用冷门API进内核就行了是吗？

通过系统API进入内核态是不行的，必须要驱动才能，冷门API是进不了内核态，虽然函数实现是在内核实现的。你真想搞事情，必须要驱动，直接搞事情。如果三环程序提权，驱动在gdt表建立调用门或者中断门之类让三环程序调用，从而实现提权，才能真正搞事情。除非你发现系统漏洞，可能不用那么麻烦。

WLH · 发表于 2021-6-4 18:20:35

wing-summer 发表于 2021-6-3 11:53
理论上是没有杀不死的进程的，就算是杀毒软件。杀毒软件最基本的自保就是对关进程相关的内核API挂钩子， ...

所以，要搞事情，只要调用冷门API进内核就行了是吗？

skystars · 发表于 2021-6-3 20:46:25

WLH 发表于 2021-6-3 19:08
这拒绝访问是怎么搞的？

hook TerminateProcess

WLH · 发表于 2021-6-3 19:08:19

huolongguo10 发表于 2021-6-2 20:27
您想想，在r3级a进程杀掉b进程不是很容易吗

这拒绝访问是怎么搞的？

wing-summer · 发表于 2021-6-3 11:53:52

WLH 发表于 2021-5-29 20:01
但杀软不是也在Ring0里有驱动吗？

理论上是没有杀不死的进程的，就算是杀毒软件。杀毒软件最基本的自保就是对关进程相关的内核API挂钩子，如果我自己用驱动实现一个关进程的API，供三环的程序调用，杀毒软件没对我实现的关进程API挂钩子，又没杀掉我的驱动，他也就没了。

huolongguo10 · 发表于 2021-6-2 20:27:11

WLH 发表于 2021-5-29 20:01
但杀软不是也在Ring0里有驱动吗？

您想想，在r3级a进程杀掉b进程不是很容易吗

WLH · 发表于 2021-5-29 20:01:23

skystars 发表于 2021-5-28 21:38
因为PCHunter会加载驱动
从r0层结束杀毒软件

但杀软不是也在Ring0里有驱动吗？

skystars · 发表于 2021-5-28 21:38:55

因为PCHunter会加载驱动
从r0层结束杀毒软件

[问题咨询] 杀毒软件是怎么被杀掉的？