关于对国内360杀毒的一点原理剖析(看法)
前言
在这之前本来应该发布一篇关于FS寄存器以及PE结构、用汇编解析部分PE结构如导出表,而绕过LoadLibaray和GetProcAdress等函数。(因为kernel32.dll和ntdll.dll几乎全进程都有)。
但是最后发现主流杀毒虽然在R3Hook了函数,但并没有HOOK LoadlibraryW...和GetProcAdress等函数。
正题开始
但此次也并非全无收获,此次以为国内普通消费用户人数占比较多的360杀毒为例
ps:本次关于360系列软件的的剖析仅作为技术交流使用,本博客也仅作技术交流。一切使用相关类似技术损害该软件相关利益的行为均与本人无关。
R0 回调分析
从图中我们可以看到,x60可以的,这么多个驱动,内核回调基本操作,线程,进程,模块。除了监控加载启动等与执行流程相关的实体,还可以做到阻断,不过这都基本操作了。
文件过滤
可以看到x60挂了超多的回调类型,看来在文件上监控了很多操作。这也反应了网友说的,360主文件查杀的佐证。应该是对文件做了很多操作过滤和监控。
对象回调
对象回调主要集中在进程线程,额。。。那应该只是做一些权限过滤什么的。还有保护进程什么的操作了。
似乎只是中规中矩。对象回调可以做很多文章的。有点失望。
R3 HOOK
这里有意思的来了,我们的x60仅仅对Explorer.exe挂钩,挂钩的API也可以发现,主要是监控explorer启动的各种进程实例的函数。这个很好理解,因为绝大多数进程都是由explorer启动的。
但是,问题就是这少数了。只有那些别有用心的进程才会使用一些启动器等特殊手段。而且恰恰我们的x60没有对其他进程做hook。如果内核没有Infihook的话,其实除了文件扫描。就没有什么手段了。也就是可以理解为,在R3我们甚至都不需要使用Shadowapi等这些关于内存的操作。仅仅让他文件特征扫不出来,就可以在R3这里过第一关。
至于R0的这几个手段,其实但凡进入到R0可以轻易patch。
总结
x60杀毒整体是以文件查杀和特征作为核心,其他组件围绕他工作来实现保护我们的电脑。
但是由于X64系统 patchguard的存在,在内核层手段十分有限,对于对抗内存马或者 套娃使用白加黑等方式时,该杀毒几乎为无防状态。当然似乎这也是当前百不存一这剩下的一些恶意软件的玩法。
现在的杀毒大多数都还是围绕恶意的行为和文件特征来进行,但是恶意行为除了特征十分明显的意外,大多数无法分分辨。反而近几年各种手杀ark程序层出不穷,稍微会一点的杀毒基本还是没办法,稍微会一点的,也开始用各种手杀程序排除。
关于对国内360杀毒的一点原理剖析(看法)相关推荐
- 360杀毒4.0版Office宏病毒免疫体验
现在,很多"办公族"喜欢到网上下载各种Word.Excel.PPT模板来简化自己的工作,但需要警惕的是,这类模板有些会携带"Office宏病毒",一旦感染,电脑 ...
- 利用powershell安装360杀毒
360杀毒是360公司出品的一款杀毒软件,免费的,据说该产品破坏了付费杀毒这个行当.虽然这一款软件看起来没有什么作用,但是面对病毒文件或者疑似病毒的文件时它的反应还是很快的. 这里建议使用window ...
- 360杀毒属于计算机操作系统吗,360杀毒软件 统一操作系统UOS,保护您的电脑安全...
原标题:360杀毒软件 & 统一操作系统UOS,保护您的电脑安全 统一操作系统UOS是基于Linux最新内核研发,适用于党.政.军.企.金融.教育.能源.电力.交通等等各类办公和自用的应用场景 ...
- 360杀毒公测-为企业局域网护航
本文已发360杀毒论坛:http://bbs.360.cn/4077772/35272153.html 过去的2009年,中国互联网发生了太多的事情,比如5.19断网事件.百度被黑.谷歌扬言要退出中国 ...
- 【360杀毒公测】-为企业局域网护航
本文已发360杀毒论坛:http://bbs.360.cn/4077772/35272153.html 过去的2009年,中国互联网发生了太多的事情,比如5.19断网事件.百度被黑.谷歌扬言要退出中国 ...
- Metasploit+python生成免杀exe过360杀毒
Metasploit+python生成免杀exe过360杀毒 1在kali下生成一个反弹的msf的python脚本,命令如下: msfvenom -p windows/meterpreter/reve ...
- Atitit 通过调用gui接口杀掉360杀毒 360卫士 qq保镖等难以结束的进程(javac# php )...
Atitit 通过调用gui接口杀掉360杀毒 360卫士 qq保镖等难以结束的进程(javac# php ) 1.1. 这些流氓软件使用操作系统os提供的普通api根本就杀不掉啊1 1.2. 使用 ...
- Win10电脑用360杀毒一全盘杀毒就蓝屏
环境: 联想计算机 Win10家庭版 问题描述: 联想计算机win10家庭版用360杀毒一全盘杀毒就蓝屏 解决方案: 1.先测试内存条一测试就蓝屏,PE下测试也是 蓝屏内存条有问题 2.换一个内存条解 ...
- 被360杀毒删除的文件怎么恢复
杀毒软件是电脑上的常见软件,我们经常使用360进行文件的清理,导致误删了一些文件.360有时也会把正常的文件错认为是病毒,有些文件可以通过360隔离区进行恢复,有些可能已经破坏了.被360杀毒删除的文 ...
最新文章
- mybatis添加记录时返回主键id
- python无法打印unicode编码_【整理】Python中实际上已经得到了正确的Unicode或某种编码的字符,但是看起来或打印出来却是乱码...
- VC++钩子DLL框架代码(MFC Extension DLL using shared MFC DLL)
- Apache Shiro的运行流程和权限控制方式分析
- 春节前51Aspx源码发布详情
- 想Get热搜同款?GitHub开源神器让父亲重返18岁!
- Pandas Timedelta对象
- shell if判断语句
- 微信小程序------媒体组件(视频,音乐,图片)
- 接口测试+自动化接口测试详解入门到精通
- IHS Markit:苹果16英寸MacBook Pro将采用英特尔第9代处理器
- kinect 学习笔记一
- IM即时通讯源码 聊天交友APP源码
- 获取linux命令硬盘信息,Linux 下使用命令获取硬盘信息
- 一起学时序分析之延迟与时钟偏斜和抖动
- 用VB.NET实现你的游戏梦想Java教程
- 【Unity3d】将Particle转成UGUI
- 计算机基础--进制之间的转换
- SAP DUMP CX_SY_CONVERSION_NO_NUMBER
- 互联网主机服务器位置,互联网上URL指什么?
热门文章
- Metis区块链浏览器|查看Layer2 公链网络的数据表现 - Tokenview
- 计算器也是一种计算机游戏,脑洞大开 一款名曰计算器的游戏评测
- 2022张宇考研基础30讲 线性代数 第四讲 线性方程组
- 【第十五届蓝桥杯备赛(bushi,写文凑个数)】蓝桥OJ---长草
- 实验吧WP(密码学部分)【变异凯撒,传统知识+古典密码,try them all,trival】
- 钢结构建筑软件:Advance Steel 2024 激活版
- 如何管理一个测试团队
- 华为笔记本适合计算机网络系学生,适合学生党笔记本电脑,MateBook D系列Windows锐龙版你pick了吗...
- CentOS7安装Nginx及配置域名映射反向代理
- 联想中国上半财年业绩:转型深入 方案服务同比增24%