360SuperKill“破冰”技术逆向分析

　　破冰(Kill Defence)”技术最大的改进在于,以前的一些查杀技术是在恶意软件释放驱动之前,占住驱动的位置,但是如果恶意软件改变释放的驱动或者将位置提前,这种技术就很难奏效了,这也是为什么现在的许多恶意软件清除工具无法删除CNNIC的原因.而“破冰(Kill Defence)”技术,能够直接删除掉恶意软件的驱动,对用户电脑进行保护.

　　安全专家表示,多数反恶意软件对基于“应用层”的恶意软件都能很好地查杀,但一旦涉及到驱动层面,“事情变得非常麻烦”.“CNNIC中文上网”是将这种技术使用到极致的一款软件,而奇虎360安全卫士也是目前唯一能够将其彻底卸载的反恶意软件,这就是引发CNNIC和奇虎口水战的根本原因.

　　花了两天时间逆向360安全卫士鼓吹的他们的“破冰”技术，结果发现，360的驱动代码写得比较龌龊，很多地方存在不安全因素，强制脱所有FileSystem Filter Driver链，使一些依赖FileSystem Filter Driver的正常软件（很多杀软依赖于Filter Driver）无法正常工作。。。需要重启后再用360查杀。。。

　　360的cnninc专杀应用层居然是用易语言写的。。。汗。。。(因为我不懂)

　　我前段时间自己也写了个反流氓引擎，不需要恢复什么，不脱链，直接击穿cnnic的所有保护，干净的干掉它而不需要重启。。。跟360的引擎相比要略胜一筹，心中窃喜。。。

　　360所谓的破冰技术有以下几点：

　　1. 恢复FSD Hook

　　2. 恢复FSD Inline Hook

　　3. 直接入FSD发送IRP删除文件

　　4. 移除SHUTDOWN NOTIFY

　　5. 移除进程监控通知(没看到杀cninc的时候调用)

　　6. 移除线程监控通知(没看到杀cninc的时候调用)

　　7. 移除模块加载通知(没看到杀cninc的时候调用)

　　具体的完整分析见ida的文件，源代码除了专杀工具没有调用的函数之外，其他的都按照反汇编出来的结果实现还原了，有些代码不尽人意，那是因为原作者就是那样写的代码，我只是忠实的还原出来。。。

　　用自己的驱动替换原来的驱动：