微点交流论坛

标题: 想和微点同归于尽也不是很容易 [打印本页]

作者: 反黑先锋 时间: 2007-11-9 20:23 标题: 想和微点同归于尽也不是很容易

2007-11-07 18:55 作者：win32k

1、遍历文件查找regsvr32.exe注册和反注册系统的五个dll文件

2、修改系统时间2004年8月17日，微点报可疑我选放行允许病毒修改系统时间

3、获取环境变量，在％Program Files％\Windows Media Player\目录下创建后门文件smigrate.exe，分五次写入

4、在％Program Files％\Internet Explorer\目录下创建后门文件IEXPL0RE.EXE，分十三次写入

5、获取系统目录，在system32目录下创建WinRSLD.dll，分七次写入

6、遍历文件查找regsvr32.exe执行注册WinRSLD.dll微点报可疑文件，继续放行:lol:

7、注册smigrate.exe为win32服务SecondarySENS

8、执行IEXPL0RE.EXE，再次修改系统时间为起始时间，目的很明显，过卡巴主动防御，到目前该文件已经释放驱动创建符号连接与病毒其他组件通讯，将阻断了进程创建，微点也打不开了

9、删除windows XP 开始.wav、Windows XP信息栏.wav、windows XP 弹出窗口已阻止.wav这三个声音文件，使得后门更隐蔽，遍历盘符查找exe文件替换为病毒自身文件

10、当在替换第三个文件的时候，触发了未知木马规则被微点把进程挂起了，随后出现删除提示和延时删除提示，重启后删除，病毒得以清除，微点完好无损，只不过中此病毒者需要用手把病毒反注册的五个dll注册，regsvr32.exe /s bd 病毒反注册.dll

[ Last edited by 反黑先锋 on 2007-11-18 at 14:40 ]

作者: qq2008444 时间: 2007-11-9 21:27
....
还是没看完
再看一遍

作者: wyatt 时间: 2007-11-9 21:38
同楼上

作者: MJFW 时间: 2007-11-9 22:00
好长好深奥哦

作者: peter0605 时间: 2007-11-10 07:27
。。。还没学。。。看不懂啊。。。

作者: 微点专家 时间: 2007-11-10 07:57
看不懂

作者: 红塔山 时间: 2007-11-10 14:17
太深奥了，楼主能不能给我们做个总结说明

作者: Rokit 时间: 2007-11-10 14:19
专业
可是我不是这个专业的,外行了,看不懂

作者: mge 时间: 2007-11-10 17:38
呵呵厉害，不知道的不放行，其他的楼主测试吧谁叫你是反黑呢

作者: skychong 时间: 2007-11-10 17:48
很专业...
純支持下..............

作者: 408983504 时间: 2007-11-10 19:50
网速慢。。
先留言，再看~

作者: lotei 时间: 2007-11-11 11:36
呵呵！反黑兄也开始玩od了！什么时候出出你od的原创啊！
其实他已经放行这么多步了！想把微点弄瘫已经成可能！方法用错了！嘿嘿

作者: nasdaq 时间: 2007-11-11 16:28
很好的内容，可惜不是原创，暂时+6分。

测试的大意就是在极端情况下，尽可能允许病毒去破坏系统（微点报可疑时放行），测试微点在极端环境的自我保护能力和系统保护能力。

我觉得并不能说是微点一片凯歌，这个帖子至少表现出三个问题：

Quote:

微点应该自动修复服务描述符表，至少要绝对保证自己的进程任何时候都可以启动。

Quote:

9、删除windows XP 开始.wav、Windows XP信息栏.wav、windows XP 弹出窗口已阻止.wav这三个声音文件……

没有样本做测试，不知道微点能否自动恢复这三个系统文件。

Quote:

微点的监控和修复不够完善，应该根据注册表变更日志自动进行修复。

作者: qq2008444 时间: 2007-11-11 20:58
我现在看到OD里一串接一串的汇编代码就头疼
还是可视化的易语言容易上手

作者: caibin870 时间: 2007-11-11 21:35
实在是看不懂哦，太外行了

作者: gudan 时间: 2007-11-15 01:14

Quote:

Originally posted by lotei at 2007-11-11 11:36:
呵呵！反黑兄也开始玩od了！什么时候出出你od的原创啊！
其实他已经放行这么多步了！想把微点弄瘫已经成可能！方法用错了！嘿嘿

不简单！

作者: gudan 时间: 2007-11-15 01:15

Quote:

Originally posted by nasdaq at 2007-11-11 16:28:
很好的内容，可惜不是原创，暂时+6分。

测试的大意就是在极端情况下，尽可能允许病毒去破坏系统（微点报可疑时放行），测试微点在极端环境的自我保护能力和系统保护能力。

我觉得并不能说是微点一片凯歌，这 ...

强，顶

作者: 北雁南飞 时间: 2007-11-15 10:33
这个测试的是微点的自我保护功能吧！病毒想把微点干掉，最后时刻还是自己被毁灭了

作者: 追风战士 时间: 2007-11-15 17:08
我没看懂，但从题目就知道是在说微点强悍的。哈哈。

作者: 云龙 时间: 2007-11-16 12:01
好历害啊!

作者: johnchu 时间: 2007-11-16 16:28
不是很明白啊

作者: johnchu 时间: 2007-11-16 16:29
不过，要是遇到这种玩意，卡巴肯定玩完，系统时间被改，卡巴就没辙了

作者: 24#pX 时间: 2007-11-18 15:31
太专业，只有靠边了

作者: loveyuwei 时间: 2007-11-18 15:39
微点很强大。。哈哈。

作者: freedom11 时间: 2007-11-18 22:09
逆境中生存，才是最强，希望微点早日能够完善

作者: gudan 时间: 2007-11-19 22:07

Quote:

Originally posted by 反黑先锋 at 2007-11-19 19:57:
进程通信都断了微点还撑的住。。微点果然强人辈出:cool:

进程通信断了微点还能够用吗？

呵呵，通讯断了系统就蓝了，不过是勾了CreateProcess，还是三环的

作者: 反黑先锋 时间: 2007-11-19 22:38

Quote:

Originally posted by gudan at 2007-11-19 22:07:

进程通信断了微点还能够用吗？

呵呵，通讯断了系统就蓝了，不过是勾了CreateProcess，还是三环的

你试试就知道了;)

作者: gudan 时间: 2007-11-19 22:57
本人功力尚浅，怕走火入魔

作者: terminus 时间: 2007-11-24 00:14
看你下的断点很头晕.哈``

作者: 无缘 时间: 2007-11-28 12:25
郁闷，看上面情况，和俺昨天中毒的情况极其相似，修改系统时间把卡巴挂了，然后在IE文件夹下创建后门，在system32里写程序，删除声音文件（可惜没成功，所以偶尔会有声音提示，不过系统没有什么不良反应）。卡巴却查不出任何问题。
还原系统马上换微点了

作者: han 时间: 2007-11-28 12:57
想中毒？不必如此劳累，有“过”微点（2007年11月15日官方测试版）的病毒。所谓“过”指：
1、裸机中毒后，通过安装微点1108/1115版无法阻止病毒行为（继续修改程序）。
2、搭建微点先于病毒激活的环境，微点也不能阻止该病毒被激活与其破坏行为。
3、病毒能让微点工作套路大乱，导致草木皆兵（一运行程序就报）包括光盘AUTO.INF也报毒并阻止（以前未发现微点报AUTO.INF病毒）。
4、其它杀软指明是病毒而非其它原因。

可惜的是详细的MP生成包、病毒样本、程序及其病毒感染体（以示对比）、中毒过程截图（后来发现截图软件也中了毒，只是还能用）及上传资料的详细说明等近1M的资料上报超版，可惜的是“未能收到”，本机也未留副本。如果不怕麻烦，装回MP1105（最新版本未试）可以重现其景。（请勿索要病毒样本，早删了）。天下无不透风的墙，任何安全软件都不可能100%，更不要说刻意破坏了。天下有毒的一天支持微点。

作者: yika 时间: 2007-12-1 02:18
自我保护和自我修复需要提高

作者: dz8989 时间: 2007-12-2 10:46
楼主是个高手，微点的主动很牛

作者: gaomi 时间: 2007-12-2 15:07
看不懂。

作者: wolongx 时间: 2007-12-3 16:11
貌似要反汇编的说？

作者: shuxipo587 时间: 2007-12-3 19:18
羡慕楼主，要是我也有楼主这么好的技术，能为微点出一分力就好了。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn