微点交流论坛

标题: 网上见的灰鸽子穿越微点方法 [打印本页]

作者: qq480122 时间: 2007-12-19 18:22 标题: 网上见的灰鸽子穿越微点方法

````````````````````````````````````````````````````````
首先配置鸽子的时候..生成地址假设为 c:\windows\123.exe

配置出来的鸽子端也改名为123.exe (微点也带特征查杀,,这里就已经达到免杀了)

并且配合RAR的自解压缩..把123.exe释放到c:\windows\下运行

这样..等于木马是没进行释放的..所以微点查不到

但这样有个缺点...只能即时运行程序..无法写入服务项..则重起后就无法启动了

解决办法..生成地址为启动目录下...RAR自解压缩也到同一目录下

这样..开机就可以自动运行

不足就是....第一.降低了隐蔽性..别人只要看启动目录..就会发现木马(不过经常去看那个地方的人很少吧)

第二..自解压缩选项如果把隐藏运行RAR和解压缩后运行某程序都设置了..那微点就绝对会弹未知木马.解决办法.只设置隐藏运行RAR..不设置解压缩后运行程序..这样就不会弹..但必须等重起木马才能运行.
还有一个解决办法..设置解压缩后运行程序,在安静模式中选择第2项隐藏启动对话框,这样,木马就会直接运行了.也不会弹拦截..但运行自解压的时候会弹出个框.虽然是一瞬间..但也降低了隐蔽性.

阐述下思路...微点的拦截就是根据程序的释放来判断.....如果木马跟释放位置及文件名为同一个..这样..木马就不算是释放后运行的了..自然也就判断不出来..

`````````````````````````````````````````````````````````

以上是网上见的过微点方法正文，我自己不会所以没试。版主看看真的有这回事吗？

作者: Legend 时间: 2007-12-19 18:25
该程序微点已成功拦截，请用微点最新版本进行测试。

作者: david1126103 时间: 2007-12-19 18:25
很早以前的事了，微点已经改进了。

作者: 東方點點 时间: 2007-12-19 18:35
嗯.網上的確有很多這樣的文章...攻防仍在繼續...希望微點越來越棒....

作者: xjr1952 时间: 2007-12-19 19:21
衷心希望微点越来越强大。支持微点！！

作者: lwsxln 时间: 2007-12-19 21:04
配置出来的鸽子端也改名为123.exe (微点也带特征查杀,,这里就已经达到免杀了)

首先这句话就是假的。微点又不是360.难道是靠文件名来判断的？
后面就不说了。绝对过不了微点

作者: david1126103 时间: 2007-12-19 21:50

Quote:

Originally posted by lwsxln at 2007-12-19 21:04:
配置出来的鸽子端也改名为123.exe (微点也带特征查杀,,这里就已经达到免杀了)

首先这句话就是假的。微点又不是360.难道是靠文件名来判断的？
后面就不说了。绝对过不了微点

文章是转的，没转明白，以前有了一个样本了，加特征了，所以要做免杀。。。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn