前不久看了黑防四期一篇修复SSDT挂钩的文章,结合以前学的,随即作了很多实验:

利用文章中方法,进行如下改编:
1'释放驱动文件
2'加载驱动,修复SSDT
3'设置命令行(taskkill /f /im *)结束杀软进程
这种方法对金山正版和瑞星下载版很有效!!

如果杀卡巴麻烦些.先得了解黑防3期一篇ring3对抗江明的文章(利用内存清零技术),这里有几个东西先说下:
(1)卡巴有两个进程.一个用户名的avp.exe(监控提示),一个系统名的avp.exe(服务的)
(2)卡巴对两个加载驱动的内核函数有拦截,直接加驱动不成
(3)卡巴对NtDuplicateObject虽有拦截,但不是很好.换句话说,你还是可以暂时杀掉它(用户名的估计有什么挂钩会恢复)
(4)在卡巴用户名avp.exe挂掉的时候加驱动，然后 taskkill......
(5)虽然还有很多细节不懂,但效果很明显,卡巴监控失效,即使重新打开也没用(连任务管理器可以喀嚓掉)

我不便发程序，如果有兴趣可以这样试试：
1。先用炉子在黑防三期的程序把卡巴用户名进程喀嚓掉
2。随即使用修复SSDT的程序来个全局修复（动作要快，最好一秒内）
3。然后用任务管理器喀嚓下。。。。。。

但对于江明正版(下载版不算,那个办法还是有的),采用内联,并且作了监控,炉子的方法不成了,修复SSDT更不顶用.最好是能用种修复内联挂的办法,象冰刀的高级扫描一样,这样才能再内核下用NtOpenProcess,NtTerminateProcess杀死江明监控(好象江明拦截除了ring0还有ring3, 真是狠啊)

希望高人相助

如果可以提供一个有效修复内核内联挂钩的代码,或提供个下载地方!
如果能突破江明正版,那就在国内几乎无敌了......呵呵,自恋下,不要见怪

好东西 我顶

方法还是有,后来发现的.可以利用冰刃查找内核钩子，然后恢复，并且在最短的时间内利用冰刃的进程结束（最好开两个冰刃程序，一个用于恢复钩子，一个杀江明进程）。为什么得快是因为江明有内核钩子检查，所以......
当然，如果有很好的办法获取它拦截函数的地址，就可以写个驱动来还原，在此过程中Kill（最好使用PsTerminateProcess）。貌似对我这种菜鸟要求高了些......学海无涯