开发工具:
文件大小: 10kb
下载次数: 0
上传时间: 2008-11-04
详细说明: 无意中发现的 KIS8的注册表监控还是存在问题,存在被绕过的可能 其实方法还是老方法,就是注册表转储 当然这还不是真正意义上的Hive操作(直接操作HIVE不当容易造成注册表配置的损坏) 但要过KIS也够了 虽然卡巴的驱动Hook了相关函数,但看来是白Hook了 由于低受限默认允许了“保存注册表项到文件”,所以如果程序被分到低受限,这种控制就形同虚设 而且即使禁止了“保存注册表项到文件”,程序也可以事先保存好转储文件再释放,一样可以过卡巴 附测试程序 共三个测试 Test1 修改卡巴HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的注册表启动项 Test2 Test1的修改版,这次可以过高受限了 Test3 映像劫持使卡巴无法启动 其实就是之前的欺骗运行的方法(见http://bbs.kafan.cn/thread-326348-1-1.html),事实上这种欺骗的意义并不在运行程序本身,而是这种欺骗可以绕过卡巴的继承机制,这样危害就大了 例如本测试程序就利用了Reg命令修改了IFEO,重启后卡巴无法启动 注:这种方法在Vista失效 事实上卡巴的注册表监控被 绕过意味着什么?——病毒可以利用注册表做任何事 以上的测试所做成的更改都是可以恢复的(请自己手动完成),而且不会对系统构成任何损害,可以放心测试 当然也不排除只是我个别情况,大家可以试试 ...展开收缩
(系统自动生成,下载前可以参看下载内容)
下载文件列表
相关说明
- 本站资源为会员上传分享交流与学习,如有侵犯您的权益,请联系我们删除.
- 本站是交换下载平台,提供交流渠道,下载内容来自于网络,除下载问题外,其它问题请自行百度。
- 本站已设置防盗链,请勿用迅雷、QQ旋风等多线程下载软件下载资源,下载后用WinRAR最新版进行解压.
- 如果您发现内容无法下载,请稍后再次尝试;或者到消费记录里找到下载记录反馈给我们.
- 下载后发现下载的内容跟说明不相乎,请到消费记录里找到下载记录反馈给我们,经确认后退回积分.
- 如下载前有疑问,可以通过点击"提供者"的名字,查看对方的联系方式,联系对方咨询.
