zbjuquan
新手上路
积分 5
发帖 5
注册 2009-3-15
|
#1 微点证实一下:黑客技巧之几个过主动防御的方法
ZDNetChina服务器站 2008-09-01 技巧
一般的木马运行添加自启动就会被杀毒软件的主动防御或者360拦截,前几天在网上发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,连微点竟然也拦截不到。
1.cmd运行前执行的程序(被动启动)
HKEY_CURRENT*******
2.session manager(自启动)
HKEY_LOCAL*******
HKEY_LOCAL*******
HKEY_LOCAL*******
*******
瑞星就来了一个bsmain,用来开机查毒
不过xxx.exe必须用Native API,不能用Win32API
3.屏幕保护程序(被动启动)
HKEY_*******
其实屏幕保护程序scr文件就是PE文件
4.
HKEY_LOCAL*******
HKEY_LOCAL*******
——还有很多注册表项更改后,可以实现自启动,这里先写这几个,其他的去要测试.
另外,还有一个偷换***文件来被动启动的方式,控制面板文件在*****下
的*****文件,这个文件类似与***文件.方法给大家了,至于怎么利用,大家就各显神通吧!
[ Last edited by Legend on 2009-3-15 at 22:21 ]
| |
※ ※ ※ 本文纯属【zbjuquan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2009-3-15 22:12 |
|
20090218
中级用户
积分 238
发帖 238
注册 2009-2-19
|
#2
微点还不完全,不知能不能让。。。。协助开发微点。。。。?!
| |
※ ※ ※ 本文纯属【20090218】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
学习!交友!顶微点! |
|
|
|
2009-3-15 22:16 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2009-3-15 22:23 |
|
mj0011_2
禁止发言
积分 86
发帖 109
注册 2008-12-14
|
#4
楼住说的应该是cmd的command process,还有bootexecute/setupexcute,以及屏幕保护设置,最后是CPL的控制面板文件,如果微点连这个都没防,还屏蔽了不让人知道,那真的太挫啦~
| |
※ ※ ※ 本文纯属【mj0011_2】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-3-16 00:45 |
|
mamsds
银牌会员
积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
|
#5
能不能说一下,太挫啦是什么意思/
| |
※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
Vi Veri Veniversum Vivus Vici. |
|
|
|
2009-3-16 18:04 |
|
HomeSGerMine
银牌会员
■■微点护卫队队长■■
积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
|
#6
其实过微点是很难的,他不是单纯的用程序的API来判断,而是用程序的一系列动作构成有意义的行为来判断的,你要过他,要一系列的过微点的行为,这个很难。
| |
※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-3-16 20:43 |
|
