» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【shineast】再爆几个微点没设防的自启动或被动启动   作者: 标题: 【shineast】再爆几个微点没设防的自启动或被动启动 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【shineast】再爆几个微点没设防的自启动或被动启动 资　料: 看雪软件安全论坛 shineast http://hi.baidu.com/shineastdh/b ... 82048c9e514608.html 男, 24岁 帖子: 26 精华: 2 声望: 11    就读过的学校： 西安交大 个人简介： 将漏洞挖掘进行到底! 我的理想就是做中国最好的杀毒软件，现在正在学习微点，虽然微点在技术上还有很多问题，但是思想上已经是创新了。 另外微点实现这个思想的时候方法、细节还是有点问题，绕过就是很头疼的问题。 没办法，搞事业就要不断的遇到问题，能做好技术，解决好问题才是王道！ *************************************************** 经过我的测试，貌似微点的RD就监控了一个 exefile，这是为什么呢？ 为啥不监控其他xxxfile呢，看来微点很自信！ 不过我觉得不安全，应该监控所有的xxxfile，反正监控1个和监控10没啥区别 微点对pe文件（com，scr，cpl，pif，bat等）应该保护吧，该这些文件的注册表已经算是行为恶劣了吧。 虽然木马主要是以网络活动为主，微点可以监控网络来拦截这个木马，但是如果我写一个木马，上来先看看微点在不在，在的话，我就隐蔽起来，不访问网络； 如果检测到微点不在了（可能是用户自己关闭了微点），这时候，再看时访问网络，发个邮件之类的，哈哈。 因此说这个注册表项如果不监控的话，可能会用来唤醒木马！ 再爆几个微点没设防的自启动或被动启动 1.cmd运行前执行的程序(sysnap告知的http://hi.baidu.com/sysnap) ——被动启动 HKEY_CURRENT_USER\Software\Microsoft\Command Processor AutoRun             REG_SZ               "xxx.exe" 2.session manager——自启动 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager BootExecute         REG_MULIT_SZ           "autocheck autochk *                                                                  xxx" 瑞星就来了一个bsmain，用来开机查毒 不过xxx.exe必须用Native API，不能用Win32API 3.屏幕保护程序——被动启动 HKEY_USERS\.DEFAULT\Control Panel\Desktop SCRNSAVE.EXE     REG_SZ       "xxx.scr" 其实屏幕保护程序scr文件就是PE文件 ——还有很多注册表项更改后，可以实现自启动，这里先写这几个，其他的去要测试。 另外，还有一个偷换控制面板文件来被动启动的方式，控制面板文件在C:\windows\system32\下 的.cpl文件，这个文件类似与dll文件 相关主题: 【shineast】终于领悟了主动防御 http://bbs.micropoint.com.cn/showthread.asp?tid=33493&fpage=2 【shineast】僵尸还魂——自启动+kill微点(已解决) http://hi.baidu.com/micropoint/b ... 833046fbf2c093.html 【shineast】东方微点注册表保护绕过及反绕过实现(已解决) http://bbs.micropoint.com.cn/showthread.asp?tid=33345&fpage=1 【shineast】在微点的监控下复活病毒木马，小发现而已 http://hi.baidu.com/micropoint/b ... 72c5e0cf7ea8b139974 [ Last edited by 点饭的百度空间 on 2008-5-28 at 07:54 ] ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-5-28 07:48 olol 新手上路 积分 19 发帖 19 注册 2007-2-18 #2   技术贴啊...拜读ing ※ ※ ※ 本文纯属【olol】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-5-28 10:05 hds_ss 银牌会员 积分 1105 发帖 1101 注册 2007-2-26 #3   真有水平呀！ ※ ※ ※ 本文纯属【hds_ss】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 系统为：XP Professional 版本为 2002 Sercice Pack 2 Intel946GZ+1G+PD820 预升级用户 2008-5-28 16:35 qq200878 中级用户 积分 456 发帖 452 注册 2007-11-17 #4   修复了吗? ※ ※ ※ 本文纯属【qq200878】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-1 19:03 412112235 新手上路 积分 11 发帖 11 注册 2008-5-25 #5   哈哈。。。。了不起啊 ※ ※ ※ 本文纯属【412112235】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 不要和我比懒，我懒得和你比！ 2008-6-3 23:01 feiyu8 新手上路 积分 41 发帖 41 注册 2008-5-6 #6   高手 ※ ※ ※ 本文纯属【feiyu8】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-6-5 09:21 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号