XX等杀软在处理NTFS分区有特殊权限的文件时会避开检查,或者直接跳过,导致任何病毒都可以躲避杀毒软件的检查,
XX等杀毒软件查杀时的NTFS权限漏洞
。目前已知卡巴斯基的内存查杀不存在这种漏洞,但其文件扫描会直接跳过文件。XX的内存查杀和文件扫描则全部失效,其余大多数杀软亦未能幸免。漏洞利用:在NTFS格式的磁盘上任意目录放置文件,(以IRC木马yulihubotserver.exe为例,该木马被XX查杀),在命令行中执行命令cacls yulihubotserver.exe /P SYSTEM:F,或在图形界面下查看并更改属性为仅对系统帐户有权限,即可避开杀软检查,
电脑资料
《XX等杀毒软件查杀时的NTFS权限漏洞》(https://www.unjs.com)。文件扫描信息为:已检查0文件。被设置此权限的文件若未被改回权限则无法直接手动删除。文件被设置特殊权限以后,只有SYSTEM权限可以访问,可使用计划任务(AT命令,用户界面下默认权限为当前用户)或者注册系统服务的方法达到系统帐户权限使之启动(默认为后台启动),可躲过多数杀软的内存检查。