Board logo

标题: 【shineast】再爆几个微点没设防的自启动或被动启动 [打印本页]
作者: 点饭的百度空间     时间: 2008-5-28 07:48    标题: 【shineast】再爆几个微点没设防的自启动或被动启动


资 料:
看雪软件安全论坛 shineast
http://hi.baidu.com/shineastdh/b ... 82048c9e514608.html
男, 24岁
帖子: 26
精华: 2
声望: 11   
就读过的学校: 西安交大
个人简介: 将漏洞挖掘进行到底!
我的理想就是做中国最好的杀毒软件,现在正在学习微点,虽然微点在技术上还有很多问题,但是思想上已经是创新了。

另外微点实现这个思想的时候方法、细节还是有点问题,绕过就是很头疼的问题。
没办法,搞事业就要不断的遇到问题,能做好技术,解决好问题才是王道!

***************************************************
经过我的测试,貌似微点的RD就监控了一个 exefile,这是为什么呢?
为啥不监控其他xxxfile呢,看来微点很自信!

不过我觉得不安全,应该监控所有的xxxfile,反正监控1个和监控10没啥区别

微点对pe文件(com,scr,cpl,pif,bat等)应该保护吧,该这些文件的注册表已经算是行为恶劣了吧。

虽然木马主要是以网络活动为主,微点可以监控网络来拦截这个木马,但是如果我写一个木马,上来先看看微点在不在,在的话,我就隐蔽起来,不访问网络;
如果检测到微点不在了(可能是用户自己关闭了微点),这时候,再看时访问网络,发个邮件之类的,哈哈。

因此说这个注册表项如果不监控的话,可能会用来唤醒木马!

再爆几个微点没设防的自启动或被动启动

1.cmd运行前执行的程序(sysnap告知的http://hi.baidu.com/sysnap) ——被动启动

HKEY_CURRENT_USER\Software\Microsoft\Command Processor

AutoRun             REG_SZ               "xxx.exe"

2.session manager——自启动

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager

BootExecute         REG_MULIT_SZ           "autocheck autochk *

                                                                 xxx"

瑞星就来了一个bsmain,用来开机查毒

不过xxx.exe必须用Native API,不能用Win32API

3.屏幕保护程序——被动启动

HKEY_USERS\.DEFAULT\Control Panel\Desktop

SCRNSAVE.EXE     REG_SZ       "xxx.scr"

其实屏幕保护程序scr文件就是PE文件

——还有很多注册表项更改后,可以实现自启动,这里先写这几个,其他的去要测试。

另外,还有一个偷换控制面板文件来被动启动的方式,控制面板文件在C:\windows\system32\下
的.cpl文件,这个文件类似与dll文件

相关主题:
【shineast】终于领悟了主动防御
http://bbs.micropoint.com.cn/showthread.asp?tid=33493&fpage=2

【shineast】僵尸还魂——自启动+kill微点(已解决)
http://hi.baidu.com/micropoint/b ... 833046fbf2c093.html

【shineast】东方微点注册表保护绕过及反绕过实现(已解决)
http://bbs.micropoint.com.cn/showthread.asp?tid=33345&fpage=1

【shineast】在微点的监控下复活病毒木马,小发现而已
http://hi.baidu.com/micropoint/b ... 72c5e0cf7ea8b139974

[ Last edited by 点饭的百度空间 on 2008-5-28 at 07:54 ]
作者: olol     时间: 2008-5-28 10:05
技术贴啊...拜读ing
作者: hds_ss     时间: 2008-5-28 16:35
真有水平呀!
作者: qq200878     时间: 2008-6-1 19:03
修复了吗?
作者: 412112235     时间: 2008-6-3 23:01
;);)哈哈。。。。了不起啊
作者: feiyu8     时间: 2008-6-5 09:21
高手



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn