» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【killvxk】IFEO的新故事~   作者: 标题: 【killvxk】IFEO的新故事~ 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【killvxk】IFEO的新故事~ 过卡巴斯基主动防御的内核级木马byshell就是他参与合作开发的玩意 2009-02-22 13:57 如何不改名的启动被ifeo劫持的XX,答曰用CreateProcess参数dwCreationFlags带DEBUG_ONLY_THIS_PROCESS或者DEBUG_PROCESS。 改名启动是过去时了.... IFEO是在Ring3完成的，貌似而且不涉及ntdll内部。 所以如果用native api来完成进程启动的话，也是可以绕过ifeo的~ 好了，就这样了~ 【killvxk】(给微点卡巴防火墙们的建议) 封杀DLL插入式木马的一个思路~ http://bbs.micropoint.com.cn/sho ... p;highlight=killvxk 【主动防御毁灭者killvxk】rootkit新思路10讲 对微点主防的一些建议 http://bbs.micropoint.com.cn/sho ... p;highlight=killvxk ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-2-22 17:41 mj0011_2 禁止发言 积分 86 发帖 109 注册 2008-12-14 #2   即使加入DEBUG_PROCESS或DEBUG_ONLY_PROCESS,只要在 InitialPeb中加入ReadImageFileExecOptions = TRUE,依然会受镜像劫持的影响，哈哈 ※ ※ ※ 本文纯属【mj0011_2】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-2-23 11:23 mamsds 银牌会员 积分 1373 发帖 1360 注册 2008-3-15 来自 乌克兰 #3   看下 ※ ※ ※ 本文纯属【mamsds】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ Vi Veri Veniversum Vivus Vici. 2009-2-24 12:11 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #4   再看看 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-3-28 00:33 ChiChou 新手上路 积分 10 发帖 10 注册 2009-4-25 #5     Quote: Originally posted by mj0011_2 at 2009-2-23 11:23: 即使加入DEBUG_PROCESS或DEBUG_ONLY_PROCESS,只要在 InitialPeb中加入ReadImageFileExecOptions = TRUE,依然会受镜像劫持的影响，哈哈 惊现MJ的MJ。。。 ※ ※ ※ 本文纯属【ChiChou】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-4-25 11:18 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号