|
|
这只是想法,不确定可行否。。。
一般来说AV为了防止R3的病毒木马删除自身启动项,肯定会Hook NtDeleteKey、NtRestoreKey、NtSetValueKey或者KiFastCallEntry等函数,但是我觉得使用Hook NtQueryValueKey + 随机键名就行了。因为无论什么键名,都不影响自启动。
一般来说,R3病毒木马删除AV启动项,肯定会对比两项,一是键名,二是键值。
比如:删除键名为[360safe]的键,以及删除键值里含有[360safe.exe]的键。
首先,随机键名让R3病毒木马的“键名对比法”失效了。
其次,在Proxy_NtQueryValueKey返回指定键名的假内容,让R3病毒木马的“键值对比法”失效。
大家的意见呢? |
|
发表于 2012-2-8 18:43:19
发表于 2012-2-9 22:48:00