微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 刚刚又安装了一下微点,来说说。  

 19  2/2  <  1  2 
作者:
标题: 刚刚又安装了一下微点,来说说。
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#11  



  Quote:
Originally posted by LjhEARTH at 2006-10-4 11:37:

如果“有害程序”这样的执行步骤:生成替换的批处理文件并执行。估计微点会报警吧。

我的程序是基于一个我以前做的东西的。
1、释放DLL
2、修改注册表,将ThunderAgent.Agent.1(就是“用讯雷下载”)指向我们的DLL。
3、结束

用户在IE里单击“用讯雷下载”菜单,于是IE加载我们的DLL。我们的DLL把所有请求转交给讯雷的DLL。然后,通过SetThreadContext注入到Explorer.exe,借用Explorer.exe开端口等。

[ Last edited by flo on 2006-10-4 at 13:30 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 11:54
查看资料  发短消息   编辑帖子
LjhEARTH
新手上路




积分 45
发帖 45
注册 2006-8-25
#12  



  Quote:
Originally posted by flo at 2006-10-4 11:54:

我的程序是基于一个我以前做的东西的。
1、释放DLL
2、修改注册表,将ThunderAgent.Agent.1(就是“用讯雷下载”)指向我们的DLL。
3、结束

DLL被加载时:把所有请求转交给讯雷的DLL。然后,通过SetThrea ...

SetThreadContext注入IE和开端口的时候微点没有报警?

※ ※ ※ 本文纯属【LjhEARTH】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 12:26
查看资料  发送邮件  发短消息   编辑帖子
曙光
版主

版主



积分 1421
发帖 1420
注册 2005-11-1
#13  

微点只一种智能型的行为判断,如果是正常程序的SetThreadContext注入IE和开端口微点是不会报的

※ ※ ※ 本文纯属【曙光】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

技服电话:0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群:
       ·QQ群:630086 或 1471553 或 16998902
   
2006-10-4 12:29
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#14  



  Quote:
Originally posted by LjhEARTH at 2006-10-4 12:26:

SetThreadContext注入IE和开端口的时候微点没有报警?

不需要注入IE的,因为当用户按“用讯雷下载”的时候,我们的DLL已经被IE加载了,接下来就好像是IE注入到Explorer.exe一样,然后就像一个普通的DLL注入木马一样工作。
所以这个模式下,微点只有在一开始替换COM时才可能防御。

[ Last edited by flo on 2006-10-4 at 13:20 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 13:16
查看资料  发短消息   编辑帖子
曙光
版主

版主



积分 1421
发帖 1420
注册 2005-11-1
#15  



  Quote:
Originally posted by flo at 2006-10-4 01:16 PM:

不需要注入IE的,因为当用户按“用讯雷下载”的时候,我们的DLL已经被IE加载了,接下来就好像是IE注入到Explorer.exe一样。
所以这个模式下,微点只有在一开始替换COM时才可能防御。

微点使用的智能判断,因为他用的讯雷是一个正常的程序,所以微点才没有报的!

※ ※ ※ 本文纯属【曙光】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

技服电话:0591-87569401、87516430、87539717
东方微点“反病毒技术交流”群:
       ·QQ群:630086 或 1471553 或 16998902
   
2006-10-4 13:19
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#16  



  Quote:
Originally posted by 曙光 at 2006-10-4 13:19:

微点使用的智能判断,因为他用的讯雷是一个正常的程序,所以微点才没有报的!

不是因为讯雷是正常程序,是因为IE是个正常程序。嘿嘿。可以写个通用性好的,平移到任何COM对象上。

[ Last edited by flo on 2006-10-4 at 13:33 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 13:28
查看资料  发短消息   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#17  

我刚刚还试了一下通过修改PEB的方法伪装进程,似乎也可以过微点。不过算了,这招对于国内的许多防火墙都损了点,不苛求了。
补充一点:试了一下ADS过微点,也是可以的,不过这招好像更损了一点...

[ Last edited by flo on 2006-10-5 at 10:56 ]

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-4 19:26
查看资料  发短消息   编辑帖子
zqrsc
版主

反病毒区版主


积分 1133
发帖 1118
注册 2005-11-22
来自 .net
#18  

欢迎深入测试。能否给个测试样本文件 让官方也试试。?

※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~
2006-10-5 10:58
查看资料  发短消息  QQ   编辑帖子
flo
注册用户





积分 168
发帖 168
注册 2006-8-17
#19  



  Quote:
Originally posted by zqrsc at 2006-10-5 10:58:
欢迎深入测试。能否给个测试样本文件 让官方也试试。?

要我给样本总是令我比较晕,不知道有什么现成的东西可以发给官方...
不过这些技术网上应该都有介绍。比较旧了,虽然现在最泛滥的一部分木马不用这些。

※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2006-10-5 11:42
查看资料  发短消息   编辑帖子
 19  2/2  <  1  2 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号