WooYun.org

最近几年rootkit、bootkit都不流行了，因为搞来搞去就是在比如何操内存.相对脚本而言就是调试门槛高了点，花样确实不怎么多.
这次就不从常规的摘链、unhook、reload入手。那样就老套了.就从规则上绕过吧。
自动添加到规则,绕过QQ杀毒扫描：
QQPCMgr.exe调用了QMExt.dll里的函数操作
C:\Documents and Settings\All Users\Application Data\Tencent\QQPCMgr\qmvext.db文件。
测试方法:我们可以先本地生成一份规则，然后拷贝qmvext.db到目标机器上覆盖掉目标机器的qmvext.db.

自动添加到规则,绕过QQ主动防御：
QQPCMgr.exe调用QMCommon.dll里的函数操作,C:\Documents and Settings\All Users\Application Data\Tencent\QQPCMgr\QMConfig.dat
相比较qmvext.db而言，QMConfig.dat是受到一定保护的，具体怎么写程序绕过我就懒得研究了，方法肯定有：）。
手动测试:使用XueTr，打开磁盘解析功能操作文件将QMConfig.dat覆盖掉,查看规则生效了