另外一种防止R3病毒木马删除AV启动项的思路
这只是想法,不确定可行否。。。一般来说AV为了防止R3的病毒木马删除自身启动项,肯定会Hook NtDeleteKey、NtRestoreKey、NtSetValueKey或者KiFastCallEntry等函数,但是我觉得使用Hook NtQueryValueKey + 随机键名就行了。因为无论什么键名,都不影响自启动。
一般来说,R3病毒木马删除AV启动项,肯定会对比两项,一是键名,二是键值。
比如:删除键名为的键,以及删除键值里含有的键。
首先,随机键名让R3病毒木马的“键名对比法”失效了。
其次,在Proxy_NtQueryValueKey返回指定键名的假内容,让R3病毒木马的“键值对比法”失效。
大家的意见呢? sb666 发表于 2012-2-8 18:44 static/image/common/back.gif
那我删掉整个启动项……
乱用暴力,不提倡,也无意义。。。 sb666 发表于 2012-2-8 18:45 static/image/common/back.gif
记得很久的改名+删除大法还很有效
早就无效了 此起彼伏。有一方法能过所有主防。也能自起动哈哈 所有内容点到完止。伪装文件让系统程序加载你的文件sb 想要防。好想也很容易。hook读写 文件 过虑。。。
页:
[1]