对决
面对如此一个新颖,强悍,隐蔽的对手,终截者能防御吗?毛主席说过:实践是检验真理的唯一标准,那我们就用事实来说话吧。先将QQ加入终截者的密码锁保护列表内:
启动木马进程,终截者对进程危险程序的判断还是很精准的。
根据我的使用经验,能让进程防护危险等级框拉到底的绝大多数都是木马病毒等非正常程序了。
实验需要,我们放过该木马,允许它运行。
启动QQ运行,并查看其进程模块,可以看到,进程空间内qn911.sys已经无法注入到QQ的进程中去。看来,终截者对ShellExecuteHook方式的线程注入还是有防御手段是非常成功有效的。既然qn911.sys不能注入到QQ进程空间中,那么截取密码当然也就无从谈起了。我们在查看指定接收密码的邮箱,里面自然一无所获。
