杀毒软件的 重启删除是什么原理呢

KMSRussian

最近一直 测试文件防删除   倒是有可行的代码 加载上驱动  但是 重启之后就被杀毒软件删除掉了  

R3 有一个MoveFileEx  可是 不可能不靠谱的用这个 函数删除吧 ？？

还是做了回调之类的

Tesla.Angela

MoveFileEx就是用来实现重启删除的，这个操作是由系统进程执行的。。。

模拟MoveFileEx很简单，先把要删除的文件放在注册表指定位置，搞一个加载得很早的驱动（加载顺序<10），然后用普通的NtDeleteFile即可删除。。。

KMSRussian

我用的是你那个 hook fsd  test.txt做的测试 安博士 杀毒的时候无法删除 重启之后做了删除
2003 XP MoveFileEx 把要删除的放在HKLM\system\CurretControlSet\Control\Sessiion Manager 这里 重启后由Csrss.exe执行删除
提示重启删除的时候这个键值下面是空的
我又搜索注册表 test这个值 在注册表中没有搜索到test.txt   是不是他写到一个配置文件里面去了 重启的时候 读取配置文件做的删除啊
我使用sc命令将  测试的驱动改成自动启动
将HKLM\SYSTEM\CurrentControlSet\Services驱动名\Start 值改成0  优先提高了驱动顺序
而杀毒软件的几个驱动Start值也就才为4  还是重启被删除掉了

KMSRussian

也尝试修改过Group和Tag  貌似 可能修改的太早 导致驱动加载失败了 所以文件被删除 了 ？
反汇编他的驱动没发现导入表中有 类似于XXDelete的函数 可能用的是别的函数做的删除

KMSRussian

简单的使用 过滤驱动测试了下   start 值设置成1  type值设置成2 重启没有被删掉 一个劲弹为了治疗恶意代码 请重启计算机  安博士的驱动 start均为2
使用sc 命令
C:\Documents and Settings\Administrator>sc config filter start= auto
[SC] ChangeServiceConfig SUCCESS

C:\Documents and Settings\Administrator>sc config filter start= boot
[SC] ChangeServiceConfig FAILED 87:
因为SC 设置boot 失败 貌似 不是所有驱动都能设置成boot启动 所以 我将boot值设置成1了
start
0x0            Kernel     Represents a part of the
(Boot)                    driver stack for the boot
                          (startup) volume and must
                          therefore be loaded by the
                          Boot Loader.

0x1            I/O        Represents a driver to be loaded
(System)       subsystem  at Kernel initialization
看了下这个网页 按照这个网页进行设置的 就是还是没搞清楚 重启删除是怎么一回事

KMSRussian

http://topic.csdn.net/u/20110830 ... 2-abe005976414.html