panweb
新手上路
积分 22
发帖 22
注册 2009-6-25
来自 第三军医大学
|
#1 免杀微点主防思路(转)【辨其真伪】
做免杀也快到头了 才知道走进了死胡同…
NOD32已经是哑巴一个了,一直想把微点这个神话也打破了
可惜一直没时间 ,先把网上公布免杀过微点的技术文档保存下来吧
有天也许会用到..
微点真有那么强吗..其实它跟瑞星的主动差不多…
首先配置鸽子的时候..生成地址假设为 c:\windows\123.exe
配置出来的鸽子端也改名为123.exe (微点也带特征查杀,,这里就已经达到免杀了)
并且配合RAR的自解压缩..把123.exe释放到c:\windows\下运行
这样..等于木马是没进行释放的..所以微点查不到
但这样有个缺点…只能即时运行程序..无法写入服务项..则重起后就无法启动了
解决办法..生成地址为 启动目录下…RAR自解压缩也到同一目录下
这样..开机就可以自动运行
不足就是….第一.降低了隐蔽性..别人只要看启动目录..就会发现木马(不过经常去看那个地方的人很少吧)
第二..自解压缩选项如果把隐藏运行RAR和解压缩后运行某程序都设置了..那微点就绝对会弹未知木马.解决办法.只设置隐藏运行RAR..不设置解压缩后运行程序..这样就不会弹..但必须等重起木马才能运行.
还有一个解决办法..设置解压缩后运行程序,在安静模式中选择第2项隐藏启动对话框,这样,木马就会直接运行了.也不会弹拦截..但运行自解压的时候会弹出个框.虽然是一瞬间..但也降低了隐蔽性.
阐述下思路…微点的拦截就是根据程序的释放来判断…..如果木马跟释放位置及文件名为同一个..这样..木马就不算是释放后运行的了..自然也就判断不出来..
过微点的思路其实很简单!
这个思路是不K掉微点,不结束微点的进程,不插所有进程,靠着系统自启动的服务帮我们来启动木马!
我们先分析下吧!
主流远控的运过程:
1.双击木马运行。
2.木马会以隐藏窗口形式进行运行。
3.向C盘下的,windows 或system或system32.等等,系统关键的几个文件夹释放木马的文件。
4.注册服务,修改服务,或者修改注册表添加启动项,好让程序从新启动后能够再次运行。
5.插入ie浏览器进程和hook自身隐藏进程,外连网络。
微点查杀木马的几个绝招:
1.正常用户使用的程序,绝对不会hook自身,实现隐藏进程,而隐藏进程的必然是木马病毒。
2.正常用户使用的程序,绝对不会插入其它进程,尤其是ie浏览器和svchost.exe,这两个进程,一旦插入进程进行访问网络的程序必然是木马病毒.。
微点查杀木马就是依靠以上的几点规则来判断,你运行的程序是不是木马,然后进行拦截。
只要木马不具备这几点特征,自然微点也就不会拦截。思路就是构造正常用户的操作,这样微点就不会报警木马。
大家可以用vbs命令构造一个正常的用户操作,将进程结束→删除文件→复制木马→运行木马……!这样就可以通过微点的拦截。
用这种方式启动木马大多数的主动防御都可以通过,但是要保证你的木马是免杀的!要不就算通过主动防御,被查出内存有毒后被杀是很尴尬的事!
思路….
3:
关联启动过微点
本篇将抛弃前两次测试用到的借尸还魂大法过微点。
其实只是思路问题。
这次我的思路是:文件关联启动。至于是怎么关联启动的,大家可以去百度google。
我做了一个小程序,实现以下功能:
1,添加注册表实现自启动;
2,实现上网下载功能(本程序不穿墙,不开微点防火墙···);
3,修改注册表实现指定后缀名文件关联启动。
以上皆出自暗组信息安全论坛
| |
※ ※ ※ 本文纯属【panweb】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2010-8-29 09:59 |
|
镜湖YES
银牌会员
积分 1225
发帖 1199
注册 2009-3-15
|
#2
老文章了
| |
※ ※ ※ 本文纯属【镜湖YES】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-8-29 10:06 |
|
scotzqm
新手上路
积分 7
发帖 7
注册 2010-8-29
|
#3
有点看不懂,不过好像是在说微点不行。所有的软件都逃不过病毒和木马。
| |
※ ※ ※ 本文纯属【scotzqm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-8-29 11:04 |
|
wei888
注册用户
积分 82
发帖 82
注册 2009-7-21
来自 DIAOKE
|
#4
如果这样,都能过主动防御的安全软件.那就是真的没得救拉.凡是带主动防御的安全软件都不会让你在系统目录执行可执行文件,白名单例外.
| |
※ ※ ※ 本文纯属【wei888】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
CNC |
|
|
|
2010-8-29 16:01 |
|
huangzeng
中级用户
积分 357
发帖 357
注册 2010-1-3
|
#5
偶看你是瞎折腾,小心再把微点给折腾哑巴了。
| |
※ ※ ※ 本文纯属【huangzeng】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
永远第一。 |
|
|
|
2010-8-29 18:34 |
|
深蓝色的海
注册用户
积分 176
发帖 174
注册 2010-7-6
|
#6
实践是检验真理的唯一标准,楼主说的只是纯理论型的,不靠谱。先弄个病毒出来试试便知真伪。
| |
※ ※ ※ 本文纯属【深蓝色的海】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
快乐是一天,不快乐也是一天,为什么不天天快乐呢? |
|
|
|
2010-8-29 19:33 |
|
