微点交流论坛

标题: 使用knlps轻松干掉微点主动防御?? [打印本页]

作者: smkyo 时间: 2008-3-8 16:16 标题: 使用knlps轻松干掉微点主动防御??

这个是我在 “华夏黑客联盟论坛”看到的管理员发的一个帖子，也不知道是不是真的。

内容为：

作者：伤心的鱼
2008年各个杀毒厂商全部推出了主动防御. 各个厂商大打主动防御这个招牌。最近在测试自己的免杀木马的时候发现，可以躲过瑞星2008 跟Norton的查杀，但是一运行的时候会被微点的主动防御提示。百思不得其解 . 因为微点据说是行为判断。可以说是误杀的可能性大大减少了。

　　换句话说也就是我的木马运行以后他才判断是不是不明文件。通过判断文件运行以后所做的动作来判断.

　　我在本地安装了微地点后发现三个进程为

　　MPSVC.exe

　　MPSVC1.exe

　　MPSVC2.exe

　　有了这三个进程就知道了安装了微点了。那么是不是我们干掉这三个进程就可以继续我们的行为了呢? 这里我使用了一个叫做knlps的工具只有几K大小 DOS下运行。超级适合我们在WEBSHELL里干掉微点后继续运行我们的木马

　　首先切换到我们的knlps目录然后执行

　　>knlps -l 列举出所有的进程

　　然后查找到

　　MPSVC.exe

　　MPSVC1.exe

　　MPSVC2.exe 三个进程的PID值

　　然后继续执行

　　>knlps -k pid 就可以终止掉指定pid的进程这样我们就可以干掉微点的主动防御进程可以继续我们的木马运行

　　不过还有一点就是服务器重起以后微点又会重新建立主动防御进程，这样有可能我们的木马又会被查杀，

　　对于这个出来把微点全部搞掉还米啥好办法

　　这种方法主要适合在WEBSHELL里执行，因为前几天我就碰到一个服务器装了微点. 服务器没开终端我在SQL里执行上传的pcshare全部被杀掉所以才找到这个办法。工具超级小而且稳定。是个对付杀软的好东西。

作者: ck^er 时间: 2008-3-8 16:27
如果杀掉进程，微点应该会被破坏，可是进程真的那麽好杀吗？

作者: Legend 时间: 2008-3-8 17:31
谢谢楼主的反馈，此问题微点已经解决。

作者: 反黑先锋 时间: 2008-3-8 17:37

Quote:

Originally posted by smkyo at 2008-3-7 20:16:
因为前几天我就碰到一个服务器装了微点. 服务器没开终端我在SQL里执行上传的pcshare全部被杀掉所以才找到这个办法

继续努力

作者: qq200878 时间: 2008-3-8 18:09
这个方法已失效

作者: 3333522 时间: 2008-3-8 20:35
防得了这个，防不了那个，现在越来越多的病毒都针对微点来开发
希望微点能再增强自我保护力，虽然现在微点的自我保护最得很好，
但这个世界上没有最好，只有更好

作者: kkk001 时间: 2008-3-8 21:58
能改进一点当然是最好的了。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn