破冰技术简介(新闻里看到的):

代码:

“破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因.而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护. 

安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”.“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因. 

花了两天时间逆向360安全卫士鼓吹的他们的“破冰”技术,结果发现,360的驱动代码写得比较龌龊,很多地方存在不安全因素,强制脱所有FileSystem Filter Driver链,使一些依赖FileSystem Filter Driver的正常软件(很多杀软依赖于Filter Driver)无法正常工作。。。需要重启后再用360查杀。。。
360的cnninc专杀应用层居然是用易语言写的。。。汗。。。(因为我不懂)

我前段时间自己也写了个反流氓引擎,不需要恢复什么,不脱链,直接击穿cnnic的所有保护,干净的干掉它而不需要重启。。。跟360的引擎相比要略胜一筹,心中窃喜。。。 

360所谓的破冰技术有以下几点:
1. 恢复FSD Hook
2. 恢复FSD Inline Hook
3. 直接入FSD发送IRP删除文件
4. 移除SHUTDOWN NOTIFY
5. 移除进程监控通知(没看到杀cninc的时候调用)
6. 移除线程监控通知(没看到杀cninc的时候调用)
7. 移除模块加载通知(没看到杀cninc的时候调用)

具体的完整分析见ida的文件,源代码除了专杀工具没有调用的函数之外,其他的都按照反汇编出来的结果实现还原了,有些代码不尽人意,那是因为原作者就是那样写的代码,我只是忠实的还原出来。。。

用自己的驱动替换原来的驱动。。。

附件下载: 360superkill.rar