建某进程”之类的字符串。目前来说在Win64上不可能通过Hook NtCreateSection之类的 手段来实现,唯一的可能就是注册了一个进程回调。也就是说,360的驱动在等待 360tray.exe对新创建的进程做出反应,如果等待超时,就自作主张,同意新创建的进程运 行。 到此为止,我对360在 WIN64 上自我保护的分析就结束了。由于一般电脑安装不了WIN64 虚拟机(需要硬件虚拟化技术支持),所以我录制一段视频给大家看。可以看出,微软提供 的标准进程保护方法很脆弱,根本经不起实战的检验。我现在认为,进程自我保护是没有任 何作用的,发在论坛上娱乐众人尚可,用在正规软件里就没有必要了。本人用的安全辅助类 软件是 QQ管家,以前也用过金山卫士,这两款软件在WIN64上都没有使用任何进程自我保 护手段。可我始终不明白,为什么360麾下的那群所谓的“驱动高手”就想不明白这个道理 呢?另外还有一点,我刚才也说过了,在WIN64 上加载驱动时,360没有拦截。这就为我们 在 WIN64 上使用驱动对抗360 降低了难度(大家都知道,360比微软难缠多了)。至于如何 在【别人的】WIN64 系统上加载没有签名的驱动,我还会写另外一篇文章来详细描述。 |
