由rppar创作，感谢rppar分享，原贴地址：http://bbs.kafan.cn/viewthread.php?tid=336280

无意中发现的
KIS8的注册表监控还是存在问题，存在被绕过的可能
其实方法还是老方法，就是注册表转储
当然这还不是真正意义上的Hive操作（直接操作HIVE不当容易造成注册表配置的损坏）
但要过KIS也够了
虽然卡巴的驱动Hook了相关函数，但看来是白Hook了
由于低受限默认允许了“保存注册表项到文件”，所以如果程序被分到低受限，这种控制就形同虚设
而且即使禁止了“保存注册表项到文件”，程序也可以事先保存好转储文件再释放，一样可以过卡巴


附测试程序
共三个测试

Test1  
修改卡巴HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的注册表启动项

Test2   
Test1的修改版，这次可以过高受限了

Test3   
映像劫持使卡巴无法启动

其实就是之前的欺骗运行的方法（见http://bbs.kafan.cn/thread-326348-1-1.html），事实上这种欺骗的意义并不在运行程序本身，而是这种欺骗可以绕过卡巴的继承机制，这样危害就大了
例如本测试程序就利用了Reg命令修改了IFEO，同时调用Shutdown关机，重启后卡巴无法启动
注：这种方法在Vista失效


事实上卡巴的注册表监控被绕过意味着什么？——病毒可以利用注册表做任何事
以上的测试所做成的更改都是可以恢复的（请自己手动完成），而且不会对系统构成任何损害，可以放心测试

当然也不排除只是我个别情况，大家可以试试

附件

Test.rar (7.03 KB)