微点交流论坛

标题: 灰鸽子成功穿越微点主动防御(文章（转载）) [打印本页]

作者: minwei 时间: 2007-11-11 04:16 标题: 灰鸽子成功穿越微点主动防御(文章（转载）)

微点真有那么强吗..其实它跟瑞星的主动差不多...

首先配置鸽子的时候..生成地址假设为 c:\windows\123.exe

配置出来的鸽子端也改名为123.exe (微点也带特征查杀,,这里就已经达到免杀了)

并且配合RAR的自解压缩..把123.exe释放到c:\windows\下运行

这样..等于木马是没进行释放的..所以微点查不到

但这样有个缺点...只能即时运行程序..无法写入服务项..则重起后就无法启动了

解决办法..生成地址为启动目录下...RAR自解压缩也到同一目录下

这样..开机就可以自动运行

不足就是....第一.降低了隐蔽性..别人只要看启动目录..就会发现木马(不过经常去看那个地方的人很少吧)

第二..自解压缩选项如果把隐藏运行RAR和解压缩后运行某程序都设置了..那微点就绝对会弹未知木马.解决办法.只设置隐藏运行RAR..不设置解压缩后运行程序..这样就不会弹..但必须等重起木马才能运行.
还有一个解决办法..设置解压缩后运行程序,在安静模式中选择第2项隐藏启动对话框,这样,木马就会直接运行了.也不会弹拦截..但运行自解压的时候会弹出个框.虽然是一瞬间..但也降低了隐蔽性.

阐述下思路...微点的拦截就是根据程序的释放来判断.....如果木马跟释放位置及文件名为同一个..这样..木马就不算是释放后运行的了..自然也就判断不出来..

文章作者: 小东￠酷儿(通用论坛ID:cici584522)
QQ:104940507

[ Last edited by minwei on 2007-11-11 at 04:22 ]

作者: minwei 时间: 2007-11-11 04:39
http://bbs.kafan.cn/viewthread.php?tid=154239&extra=page%3D1
鸽子过卡巴主动全开(不摧毁,不改时间)

作者: 微点专家 时间: 2007-11-11 08:40
我倒

作者: wantcm 时间: 2007-11-11 09:38
经深度数位网友测试后,证实所谓过微点的鸽子没有过的了微点.

作者: lotei 时间: 2007-11-11 10:40
目前来讲通过这类方式来绕过微点的监控是相当脆弱的！就算让您尝试出这个小方法或者说是小窍门绕过了微点那也是一阵子的，主动防御只要对他的监控做个小变化你就没办法，况且以目前微点的监控来讲，要通过这个方式来绕也不是很容易的。这也显象目前的现状，真正想通过避开微点主动防御的hook达到真正的绕过微点直接调用内核的办法基本没有多少，就算有了思路，编写难度也是相当高的，驱动级的编写和对系统的内核的操作难度很高，这也是为什么目前绕主动防御的方法变得用这种比较猥琐的思路吧！

作者: lwei261 时间: 2007-11-11 19:29
树大招风，支持微点不断发展

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn