zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22
来自 .net
|
#11
一般用户发现刻录软件不可用 就算不想到病毒身上 基本也会重装
不知道这样一来 该木马是否还可以正常工作呢?
毕竟装有刻录软件的机器 其软件使用率是不低的。
不过思路不错 不如尝试换个替换目标如何?
感觉这样的替换木马生存期不会太长。如果替换系统自带的一些程序 比如映象 估计难度较高。。
PS: 楼上说的有理 楼主尝试重启系统看看微点是否识别。
| |
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~ |
|
|
2006-7-4 13:01 |
|
hgzfzq
新手上路
积分 43
发帖 43
注册 2006-7-4
|
#12
我重启机器
微点依旧没有报警,我都说了,行为试杀毒的特点是:
杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。(摘录于:黑客动画吧VIP免杀教程的 第 13 课)
我已经把,木马的特定的行为给修改了,行为式杀毒当然无能为力了~~
最后我说一句:道高一尺,.魔高一丈.这个世界上,不存在过不了的杀毒软件!!!!!
再说了,行为式杀毒,又不是微点第一次提出的,绿鹰PC万能精灵早就有行为式杀毒的理念,所以,行为式杀毒,实际上也早就被那些免杀高手研究过了,因此,各位不要以为装了微点就万事无忧了,还是要加强自己的安全意识才行~~
| |
※ ※ ※ 本文纯属【hgzfzq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 13:02 |
|
含笑半步颠
注册用户
初级会员
积分 153
发帖 152
注册 2005-11-2
|
#13
没明白楼主是怎么做的,你既然修改了启动项是启动Nero的CD烧录软件程序,你的木马实际紧紧是做了修改注册表的动作,按照注册表随后启动的应该是Nero的CD烧录软件程序,这个软件不会做你所说的木马的行为,微点当然不会报警了。微点不是简单的注册表监控软件,请楼主认真了解微点。
特征码也是防护病毒的一种技术手段,只是已经不能适应现在病毒的发展趋势,网络的发达,使得病毒的变种越来越多,而一个病毒重新编译一下特征码就已经变化,包括您说的加壳,所以说特征码技术已经不适应病毒的发展
启发式扫描是针对某单个病毒的一个行为提取特征,然后依据这个行为动作进行判断,漏报和误报很高。
| |
※ ※ ※ 本文纯属【含笑半步颠】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 13:10 |
|
hgzfzq
新手上路
积分 43
发帖 43
注册 2006-7-4
|
#14
算了,
我再补充几点吧,本来是不想说的,因为说的太详细,我的木马可能就要被微点挂掉了,
不过也无所谓,你杀掉了,我再修改,呵呵~~杀毒软件奈我何!!
我除了替换了注册表启动项外,还把木马文件运行后的释放路径由原来的 C:\windows\system32 改成了C:\program Files
至于怎么改,我在这里就不方便透露了~~
| |
※ ※ ※ 本文纯属【hgzfzq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 13:19 |
|
sxh_sxh
版主
灌水区版主
积分 818
发帖 810
注册 2005-12-10
|
#15
按楼主的方法进行测试,微点还是报,不知楼主是如何操作的,请楼主详细描述您的操作过程,或者将您的样本发送到virus@micropoint.com.cn
| |
※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶真想*
|
|
|
|
2006-7-4 13:20 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2006-7-4 13:38 |
|
nasdaq
版主
版主
积分 1140
发帖 1118
注册 2006-4-6
|
#17
我个人意见:
楼主说的两点,文件读写和注册表读写,似乎不是行为,而叫结果更准确呢
我个人理解的行为查杀,应该是基于API的,危险API操作不止那两点呢。
我觉得像躲过行为引擎的可能有效办法是:
一、用微点不知道的微软未公开API
二、自己编写一套基础API接口
| |
※ ※ ※ 本文纯属【nasdaq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 22:30 |
|
twfy914
中级用户
初级会员
积分 245
发帖 238
注册 2006-2-8
|
#18
我也测过了 没有发现楼主所说的问题
| |
※ ※ ※ 本文纯属【twfy914】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-5 12:16 |
|
