首页
论坛
课程
招聘
[原创]360最新cnnic专杀工具-360SuperKill“破冰”技术逆向分析
2007-1-31 18:27 20487

[原创]360最新cnnic专杀工具-360SuperKill“破冰”技术逆向分析

2007-1-31 18:27
20487
破冰技术简介(新闻里看到的):
“破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因.而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护. 

安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”.“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因. 


花了两天时间逆向360安全卫士鼓吹的他们的“破冰”技术,结果发现,360的驱动代码写得比较龌龊,很多地方存在不安全因素,强制脱所有FileSystem Filter Driver链,使一些依赖FileSystem Filter Driver的正常软件(很多杀软依赖于Filter Driver)无法正常工作。。。需要重启后再用360查杀。。。
360的cnninc专杀应用层居然是用易语言写的。。。汗。。。(因为我不懂)

我前段时间自己也写了个反流氓引擎,不需要恢复什么,不脱链,直接击穿cnnic的所有保护,干净的干掉它而不需要重启。。。跟360的引擎相比要略胜一筹,心中窃喜。。。

360所谓的破冰技术有以下几点:
1. 恢复FSD Hook
2. 恢复FSD Inline Hook
3. 直接入FSD发送IRP删除文件
4. 移除SHUTDOWN NOTIFY
5. 移除进程监控通知(没看到杀cninc的时候调用)
6. 移除线程监控通知(没看到杀cninc的时候调用)
7. 移除模块加载通知(没看到杀cninc的时候调用)

具体的完整分析见ida的文件,源代码除了专杀工具没有调用的函数之外,其他的都按照反汇编出来的结果实现还原了,有些代码不尽人意,那是因为原作者就是那样写的代码,我只是忠实的还原出来。。。

用自己的驱动替换原来的驱动。。。

[看雪官方培训] Unicorn Trace还原Ollvm算法!《安卓高级研修班》2021年6月班火热招生!!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (33)
雪    币: 25
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
xIkUg 活跃值 9 2007-1-31 18:27
2
0
只能传一个附件。。。
上传的附件:
雪    币: 521
活跃值: 活跃值 (118)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
笨笨雄 活跃值 14 2007-1-31 18:32
3
0
牛人啊
雪    币: 25
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
xIkUg 活跃值 9 2007-1-31 18:34
4
0
刚才传错了
雪    币: 3540
活跃值: 活跃值 (19)
能力值: (RANK:760 )
在线值:
发帖
回帖
粉丝
cnbragon 活跃值 18 2007-1-31 18:38
5
0
西裤哥始终都是我的偶像
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
章艾楠 活跃值 2007-1-31 18:41
6
0
又长知识了 ,谢谢
雪    币: 107
活跃值: 活跃值 (13)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
qiweixue 活跃值 19 2007-1-31 19:48
7
0




!
MJ0011是个MM
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
绫濑遥 活跃值 1 2007-1-31 19:50
8
0
这个不加V是不行D
彪汗除了猛男,什么都能解释
雪    币: 107
活跃值: 活跃值 (13)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
qiweixue 活跃值 19 2007-1-31 20:30
9
0
彪汗,膜拜...
雪    币: 207
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
fonge 活跃值 5 2007-1-31 20:39
10
0
xIkUg组织内有什么内部教程吗?
分享一下吧

谋事在人
成是在天

说不定因此很多人都会很快成为你的左右手
雪    币: 2028
活跃值: 活跃值 (18)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
阿健 活跃值 5 2007-1-31 20:56
11
0
呵呵,昨天刚刚安装360后来OD用不了了
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
ForEver 活跃值 20 2007-1-31 20:59
12
0
来帮忙顶帖子的.
雪    币: 454
活跃值: 活跃值 (16)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
prince 活跃值 16 2007-1-31 21:00
13
0
顶啊顶, 跑先了~
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
drwch 活跃值 3 2007-1-31 21:16
14
0
顶一下玩内核的同好
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
ljy3282393 活跃值 1 2007-1-31 22:06
15
0
只有支持的份!
雪    币: 25
活跃值: 活跃值 (10)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
xIkUg 活跃值 9 2007-1-31 22:27
16
0
最初由 fonge 发布
xIkUg组织内有什么内部教程吗?
分享一下吧

谋事在人
成是在天
........

没什么内部教程。。。都是朋友一起聊天。。。
很多牛人水平在我之上。。。
雪    币: 7574
活跃值: 活跃值 (197)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wzmooo 活跃值 2007-1-31 22:38
17
0
严重支持西裤哥  望其项背啊
雪    币: 134
活跃值: 活跃值 (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
playx 活跃值 1 2007-1-31 23:15
18
0
逆向有理,支持开源.
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
pc之恋 活跃值 2007-2-1 01:01
19
0
好东西哦!!~!!
呵呵
雪    币: 207
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
fonge 活跃值 5 2007-2-1 12:36
20
0
最初由 xIkUg 发布
没什么内部教程。。。都是朋友一起聊天。。。
很多牛人水平在我之上。。。


那debugman上面有个认证区域好像名字叫          
电子书 & 资料
各类电子书籍资料分享

……

雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
picecap 活跃值 2007-2-1 12:40
21
0
我的向往,开始学asm!
雪    币: 1818
活跃值: 活跃值 (5169)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2007-2-1 14:14
22
0
xIkUg的帖不顶就没天理了
雪    币: 232
活跃值: 活跃值 (141)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
hmimys 活跃值 2 2007-2-1 14:23
23
0
顶一下XIKUG,期待你的工具早产!
雪    币: 199
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
一个穷光蛋 活跃值 2007-2-1 16:54
24
0
360引来xikug出手,罪过罪过.
拜一下大仙.
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mydear256 活跃值 2007-2-2 13:08
25
0
太猛了啊,吐血推荐
游客
登录 | 注册 方可回帖
返回