邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]有没有办法结束瑞星的进程 这小子越来越强了 [查看完整版本]

xiao2004 2007-4-7 18:18

[讨论]有没有办法结束瑞星的进程 这小子越来越强了

议题作者：xiao2004
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）

试了N多方法都没搞定他,服务停不了,进程杀不了,
或许icesword可以,但是我只有命令行,
我的工具没一个免杀的,除了自己写的几个.不停他不行呀,

!angel 2007-4-7 18:40

安装时候就停了他的服务

安全模式停服务

卸载时服务也停了[s:289]

要不找个NC那种工具,把当前权限提成system也成.

不知道为什么这么高的高手来讨论这种问题,还是我理解错了,还是....快查一下高手的ID是不是被挂了

pivot 2007-4-7 18:52

net stop rsccenter
sc delete rsccenter
tasklist
taskkill /pid
??

dayang1718 2007-4-8 19:19

请教下怎么在delphi 编程中结束他的进程，要详细代码，就知道有个termina的什么函数的，请教下用法？

pivot 2007-4-8 19:23

TerminateProcess /pid吧```

binwu58 2007-4-8 21:26

我只知道在安装的时候在"服务"里把它设置为"手动"的,不让它随系统启动就行了
如果安装后没设置,重起后,它的进程就结束不掉了
在进"服务"里改为手动也不行了

xiao2004 2007-4-8 22:57

同志们,现在不比以前了.
连winxp 自带的 taskkill 带/F参数都干不掉他们.

别说那个先提权再TerminateProcess 的老套路了.

服务也停不掉的,不信可以试试.

l4bm0s 2007-4-9 16:36

tasklist
ntsd -c q -p PID

xiao2004 2007-4-9 18:06

楼上的老大,
模拟按键,???
人家服务器基本上是不登陆进去的,没有界面这一说.
瑞星服务却早已启动.

tasklist
ntsd -c q -p PID
这种东西是说都不要说,冒用的.

szplay777 2007-4-9 18:08

ASM兄弟对代码的Love似乎已经到了饥渴的程度。。。

asm 2007-4-9 19:27

[quote]引用第11楼xiao2004于2007-04-09 18:06发表的 :
楼上的老大,
模拟按键,???
人家服务器基本上是不登陆进去的,没有界面这一说.
瑞星服务却早已启动.

.......[/quote]


抱歉，我看错了　：）

grayfox 2007-4-9 21:48

把自己权限先提升到debug权限也不成？

小明 2007-4-10 03:03

遍历整个Windows窗口，搜索类名为#32770 的窗口`
因为瑞星2007的哪个隐藏窗口的类名既#32770，标题是空的（非主窗口）
鉴于Windows窗口下有很多类名为#32770的窗口，所以建议你采用遍历的方式来搜索`
用GetWindow函数来搜索既可`
凡是类名为#32770的窗口，你都发送以下代码
SendMessage(句柄, $0111, 40026, 0); //执行“禁用所有监控”功能``偶测试过，可用！
其他杀软类似`` 瑞星的进程可不是你随便就可以结束的`` 提权后再杀都是N年前的老套路了！
我刚提的这个方法` 很不完美` 很菜`` 但是确实可以达到你要的，就是关闭瑞星！

zhouzhen 2007-4-10 09:29

主要是看进程防杀是如何实现的。用户层面的方法比较多。如果进入驱动级别，可能就要恢复ssdt，恢复inline hook ，或者pspterminateprocess 之类了。

xyzreg 2007-4-10 15:01

[b]ring0的方法很多，zhouzhen兄上面也有所提及，就不多说了。
说个ring3下简单的可以终止瑞星2007的方法：EndTask~ 呵呵[/b]

pixy 2007-4-10 17:14

貌似上次我点调试结束了...

等我看看那个文章，什么拨瑞星的皮,抽瑞星的筋..

Please Hold on...

penghui-80 2007-4-10 17:25

也许只有15楼的那种方法呢，查找类名不是很容易吧

xiao2004 2007-4-10 19:48

感谢十五楼,但是服务器未登进去,也就是不可能有界面时,
瑞星的服务开始运行了....

小明 2007-4-11 00:50

那你的意思是 要在未登陆之前K掉瑞星的服务？

eeistone 2007-4-11 15:20

[quote]引用第15楼小明于2007-04-10 03:03发表的 :
遍历整个Windows窗口，搜索类名为#32770 的窗口`
因为瑞星2007的哪个隐藏窗口的类名既#32770，标题是空的（非主窗口）
鉴于Windows窗口下有很多类名为#32770的窗口，所以建议你采用遍历的方式来搜索`
用GetWindow函数来搜索既可`
凡是类名为#32770的窗口，你都发送以下代码
.......[/quote]
楼上的方法我刚才试过了，没用啊？不知道是哪里出问题啦！
我通过遍历窗口，找到了4个类名为#32770的窗口，分别是：监控中心，瑞星杀毒软件，文件监控提示，邮件进度；然后按照你的方法，取出他们的句柄，对以上四个窗口发送了SendMessage(句柄, $0111, 40026, 0); 发送顺序就是按照以上四个窗口，一个一个发的，发完了瑞星一点反映都没有啊？
请问是什么原因？
能把你的方法（最好是代码）分享一下吗？

eeistone 2007-4-11 16:29

楼上的方法不好使！
人家瑞星早就把NTopenprocess和NTterminateprocess给勾住了，根本无法结束进程！！
除非用PSPterminateprocess那个函数，才可以搞定瑞星，但那种方法太麻烦了。
问一下15楼的小明：你的那个SendMessage(句柄, $0111, 40026, 0); 函数中的“40026”是从什么地方得到的，什么意思啊？？

小明 2007-4-11 16:45

to: eeistone，抱歉！我手误，把原本的40027写成了40026！
40026是开启瑞星的菜单ID，所以你发送后没效果，他的下级菜单ID是40027，既禁用！
代码很简单，如下，直接调用既可：
procedure StopRising;
var
hWindow: HWND;
lpClassName: array[0..20] of char;
begin
hWindow := GetWindow(GetForegroundWindow, GW_HWNDFIRST);
repeat
  GetClassName(hWindow, lpClassName, 20);
  if lpClassName = '#32770' then //判断搜索窗口的类名
   PostMessage(hWindow, WM_COMMAND, 40027, 0); //发送消息，点击“禁用”菜单
  hWindow := GetWindow(hWindow, GW_HWNDNEXT);
until
  hWindow = 0;
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
StopRising; //调用
end;

eeistone 2007-4-11 17:40

刚试过了，的确可以达到关闭监控的目的，只是那个小提示框一下子就暴露目标啦！！
哈哈～～
不过还是感谢楼上的！
有机会的话希望能和你再交流一下哈
我的Q：66721579

eeistone 2007-4-11 17:45

还有一个问题想问一下小明：
你上面说的“40026是开启瑞星的菜单ID，他的下级菜单ID是40027，既禁用！”
40026和40027这两个数值是怎么取到的啊？
我昨天模拟过瑞星杀毒主界面上那个“杀毒(&C)”按钮的点击事件，结果没反映，只是看到那个按钮focus了一下，也没有按下去，不知道是怎么回事。
你能帮我解决一下这个问题吗？

eeistone 2007-4-11 18:55

嘻嘻～～
经过我一个小时的搜寻，终于用SPY＋＋查到了“禁用”按钮值为40027的ID号
不知道小明是怎么取到的，是不是可以通过程序实现，利用菜单按钮上的名称，自动查找菜单ID号呢？还请赐教！！！

xiao2004 2007-4-11 19:54

[quote]引用第22楼小明于2007-04-11 00:50发表的 :
那你的意思是 要在未登陆之前K掉瑞星的服务？[/quote]

服务器一般不登陆的,所以不存在啥界面.而瑞星服务却已启动.
对付个人主机,你去收人家的伞,再傻也知道有问题了.

eeistone 2007-4-11 21:46

[quote]引用第31楼xiao2004于2007-04-11 19:54发表的 :


服务器一般不登陆的,所以不存在啥界面.而瑞星服务却已启动.
对付个人主机,你去收人家的伞,再傻也知道有问题了.[/quote]

首先，想停掉瑞星的服务，最常用的办法就是修改注册表了，但是瑞星把打开和修改注册表键值都用系统钩子钩住了，普通的方法根本修改不了，但是服务虽然在，实时监控被禁止了，瑞星也就失去作用了啊！
其次，对于个人主机，我收掉他的伞，等我的代码执行完，目的达到了，我再帮他打开他的伞，这样不就绕过了瑞星对主机的监控了吗？

当然，瑞星的主要进程：RavMon.exe RavMonD.exe RavStub.exe RavTask.exe 一般的方法还是结束不掉的，我试过了很多方法，包括提升权限（到ring0级）、先杀子线程再杀主进程～～等等很多方法，都不行。因为瑞星他自己带了很多驱动级的钩子，勾挂了很多系统消息。（这就是为什么我们不能结束他进程的原因），但是写一个内核级的驱动，还是可以杀掉瑞星的进程的。用的就是我前面讲过的一个Undocument 函数PspTerminateProcess() 我在Win2000的环境下做过测试，可行。但这种方法太麻烦了，而且对平台的依赖性太强，不通用！！

小明 2007-4-12 00:45

[quote]引用第30楼eeistone于2007-04-11 18:55发表的 :
嘻嘻～～
经过我一个小时的搜寻，终于用SPY＋＋查到了“禁用”按钮值为40027的ID号
不知道小明是怎么取到的，是不是可以通过程序实现，利用菜单按钮上的名称，自动查找菜单ID号呢？还请赐教！！！[/quote]
我也是用SPY++，不过是附加了瑞星的进程（RavMon.exe）! 你按Ctrl + P
拦截的消息只设置WM_COMMAND既可（避免拦截到太多消息）
一切准备就绪后，执行禁用瑞星监控，就拦截到如下消息：
<00010> 00010134 P WM_COMMAND wNotifyCode:0 (从菜单发送) wID: 40027

takdick 2007-4-12 19:45

我也很想知道如何解決這問題,但之前的提問得到的回覆是還原SDT或寫驅動等方法實在太難了,謝謝小明提供了這麼一個好辦法.
現請問一下該方法適用於卡巴嗎?如果可以,ID號是什麼?
正好,我用的也是Delphi.

remax 2007-4-13 02:00

如果你有足够权限的话，ren[re name] 他的各大主要部件，restart一下就好了。
win2k测试通过。瑞星的文件保护做的很一般。。[没有保护??]

卡巴很厉害很厉害[卡巴号称全保护]，大家猥琐以下就可以了
data 2046-03-08

[s:264]
最近发现诺顿比较猖狂，nod32比较生猛。。
诺顿带的防火墙把我堵得没缝插针，nod32连杀我收藏已久的asp马马。
[s:266]

panti 2007-4-13 15:33

瑞星，不好意思，以前用RECTON很轻易的结束了它的进程。

oics 2007-4-13 16:04

日啊 拜托大家看清了再回答吧 人家要的是命令行，猪都知道用冰刃、RECTON行的，谁再说用ntsd日他妈，knlps -k 就搞定了

xiao2004 2007-4-13 18:24

本来对这帖没半点信心了,被人一阵胡搞... ntsd说了几次,搞得我好郁闷.

被楼上挽救了,呵呵,非常感谢.
zzzEVAzzz, 一直都是偶像级人物呀.

tsjmarco 2007-6-16 00:08

有些马 是直接让监控 退出的. 貌似也是发的消息..
NOD32更猛 冰刃都日不掉

刘的林 2007-6-16 13:54

我用sa权限
net stop rsccenter
结果提示停止这个服务。。某某服务也跟着停止。。Y&N。。默认是N..
我在sa下不能选择N。。命苦~

dayang1718 2007-6-17 10:00

引用第30楼eeistone于2007-04-11 18:55发表的 :
嘻嘻～～
经过我一个小时的搜寻，终于用SPY＋＋查到了“禁用”按钮值为40027的ID号
不知道小明是怎么取到的，是不是可以通过程序实现，利用菜单按钮上的名称，自动查找菜单ID号呢？还请赐教！！！
我也是用SPY++，不过是附加了瑞星的进程（RavMon.exe）! 你按Ctrl + P
拦截的消息只设置WM_COMMAND既可（避免拦截到太多消息）
一切准备就绪后，执行禁用瑞星监控，就拦截到如下消息：
<00010> 00010134 P WM_COMMAND wNotifyCode:0 (从菜单发送) wID: 40027

其中的
附加了瑞星的进程（RavMon.exe）! 你按Ctrl + P
拦截的消息只设置WM_COMMAND既可（避免拦截到太多消息）
一切准备就绪后，执行禁用瑞星监控，就拦截到如下消息：
<00010> 00010134 P WM_COMMAND wNotifyCode:0 (从菜单发送) wID: 40027
不太明白，关键是怎么附加进程和设置过滤拦截消息呢？

lhhxs 2007-6-17 13:49

瑞星太流氓了 !
你可以先进注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon]
里把瑞星的两个服务清空 ,然后把瑞星的那两个键值的权限全部设为拒绝 .
这样 瑞星就可以结束进程,除了不能实时监控,其他的还可以正常使用.

电脑城 2007-6-20 21:33

还有就是给他升级 这样就会停掉瑞星

zjjmj 2007-6-21 16:59

如果只要简单的话，那么就先恢复SSDT
再禁用所有监控
然后结束瑞星的进程

xxyyzas123 2007-6-21 18:58

文件替换行不行？

thesnake 2007-7-24 13:52

[quote]引用第34楼刘的林于2007-06-16 13:54发表的 :
我用sa权限
net stop rsccenter
结果提示停止这个服务。。某某服务也跟着停止。。Y&N。。默认是N..
我在sa下不能选择N。。命苦~[/quote]

这个问你Y&N的 你可以用
net stop rsccenter /y
就选Y了，不过对于瑞星，选了Y也没用。会返回
=========================================
下面的服务依赖于 Rising Process Communication Center 服务。
停止 Rising Process Communication Center 服务也会停止这些服务。

  Rising RealTime Monitor

.
Rising RealTime Monitor 服务无法停止。

发生系统错误 1051。

停止控制被发送到其他正在运行的服务所依赖的服务。
===============================================

g0ug0u 2007-7-24 16:59

瑞星的ssdt hook好像比较弱，只是监控了几个注册表操作函数。

xkingwolf 2007-7-24 19:44

如果权限够~我建议你装个瑞星，在控制面版--服务--禁止瑞星服务，然后在注册表里找到瑞星服务的相关项，导出！然后在对方机子导入注册表！
--------------------------------
注意：你装瑞星要和对方机子同一磁盘。机子2003和XP可以一样、但是2000就不可以。
**************
LAST： 这招我常常用来对付对方禁止运行的服务！如TS、telnet~~~嘿嘿~~~

jj00544 2007-7-25 14:58

tasklist
tasklist /pid

nixilin 2007-7-25 22:36

这几天用了下wmic，感觉比较爽。
如果2k3带了wmic的话，可以试下 wmic process where name=&#39;[瑞星的进程名，偶给忘了]&#39; delete
效果似乎比较好。偶有一次试了下wmic service delete  敲了回车就运行了 连确认都没一个。然后偶就重做系统了。。 [s:289]

dian198787 2007-7-26 16:46

很简单啊，你可以将启动项里，的瑞星禁止了，或者，停止瑞星保护，不就行了？怕你的工具被杀，你就不瑞星停了，不几OK了
不过，本人鄙视瑞星，垃圾一个，

sunwear 2007-7-27 12:22

[quote]引用第45楼dian198787于2007-07-26 16:46发表的 :
很简单啊，你可以将启动项里，的瑞星禁止了，或者，停止瑞星保护，不就行了？怕你的工具被杀，你就不瑞星停了，不几OK了
不过，本人鄙视瑞星，垃圾一个，[/quote]
所答非所问.你觉得这么说有意义么.
瑞星是垃圾,那你试着写一个出来我看看?


如果谁有时间可以试试 knlps  没用过瑞星,不知道行不行.至少江民是不行.

风中之渡 2007-8-5 09:59

瑞星HOOK了NtSuspendProcess么？

一条面包 2007-8-5 11:46

怎样实现瑞星关闭后绿伞依然亮？
[url]http://forum.eviloctal.com/read-htm-tid-29537.html[/url]
上传自已改好的瑞星文件,这样还安全点,

vxk 2007-8-10 18:17

csrss做点文章就能干掉rs了～

查看完整版本: [讨论]有没有办法结束瑞星的进程 这小子越来越强了

© 1999-2008 EvilOctal Security Team