MCAFEE有效签名的ANTI-ROOTKIT驱动程序

驱动中的在内核模式下直接调用ZwSetValueKey进行注册表操作的代码片段，这部分代码将绕过Windows安全检查机制，直接操作注册表：

下面是利用ZwDeleteKey的代码，同360安全卫士的bregdrv.sys类似，在内核模式调用ZwDeleteKey，同样会绕过Windows安全检查机制：

下面是国际xx的趋势科技杀毒软件中的Anti-Rootkit驱动，其中同样会调用内核模式的ZwDeleteValueKey，同bregdrv.sys一样，绕过Windows安全检查机制，进行直接的注册表操作：

存在有效驱动的趋势Anti-Rootkit 驱动内核模式驱动

趋势的Anti-Rootkit驱动会接受应用程序发送的控制码，直接调用ZwDeleteValueKey，可以绕过Windows安全检查机制同bregdrv.sys一样。

趋势的Anti-Rootkit驱动会接受应用程序的命令，直接强制删除文件，绕过Windows安全检查机制。

国际xx的AVG杀毒软件的Anti-Rootkit驱动同样会调用内核模式的函数，绕过Windows安全检查机制，进行文件操作，同360安全卫士的bfsdrv.sys一样。

AVG的驱动程序绕过Windows安全检查机制，直接删除文件。

国际xx的AVAST!杀毒软件中的Anti-Rootkit驱动同样有类似的功能，下面是AVAST!的Anti-Rootkit驱动：

可看到有Avast!的公司ALWIL Software的有效数字签名。

所以，瑞星把Anti-Rootkit说成是后门，要么是无知，要么就是故意诬陷。我觉得不排除瑞星真的有可能是出于无知，这倒是和瑞星的技术水平很相称。

原文地址：