微点交流论坛

标题: 【shineast】偷梁换柱——再次实践了一个绕过微点所有监控的方法 [打印本页]

作者: 点饭的百度空间 时间: 2008-6-2 17:33 标题: 【shineast】偷梁换柱——再次实践了一个绕过微点所有监控的方法

看雪软件安全论坛 西安交大shineast
http://hi.baidu.com/shineastdh/b ... e65436c895593a.html

2008年06月02日星期一下午 01:21

思路：首先检测微点中有哪些可信程序，如果没有的话，88，继续潜伏；如果有的话，例如xxx.exe,然后把自己的木马和xxx.exe偷换一下，例如我的机器上，xxx.exe=ftpserv.exe (一个小小的ftp服务端程序)

然后，用下面的脚本替换下这个ftpserv.exe为我们的木马(muma.exe)：

ren d:\ftpserv\ftpserv.exe ftpserv_bak.exe
copy muma.exe d:\ftpserv\ftpserv.exe /y

然后运行这个ftpserv.exe,由于这个程序是微点可信的程序，所以微点不会有任何拦截的，干坏事随便了！

仔细看的话，会发现，图标都变了。我这个木马是个没免杀的彩虹桥，偷梁换柱后，程序日子过得很爽！

思考：

1.微点有没有考虑保护可信程序不被篡改？

答：感觉微点考虑到了，为什么这样说，下图为证：

我没有打第二个勾，说明我不允许修改可信程序，但是我测试的时候发现微点这里有bug，偷梁换柱的时候，微点Y根就没拦截，很奇怪，希望微点程序员考虑一下；

2.微点的可信程序记录在哪里？能否想方设法修改这个文件呢？

答：目前我正在搞ing，哈哈！
PS：发现微点存储可信程序列表的文件貌似是个加密文件。

作者: snhao 时间: 2008-6-2 17:38
那我要是不添加可信程序呢？

作者: 点饭的百度空间 时间: 2008-6-2 17:56

Quote:

Originally posted by snhao at 2008-6-2 17:38:
那我要是不添加可信程序呢？

“首先检测微点中有哪些可信程序，如果没有的话，88，继续潜伏”

作者: gudan 时间: 2008-6-2 18:58
人眼看到和程序看到应该是两回事，不过也存在着潜在威胁啊

作者: feiyu8 时间: 2008-6-5 09:44
技术贴

作者: seaurface 时间: 2008-6-5 12:00
这么可怕啊！真厉害！

作者: cjfcjf111 时间: 2008-6-5 15:53
这个方法如同放屁,你怎么知道别人的电脑可信程序是那些,要是你能看到,也不用这样做,直接加入到可信程序就可以了

作者: snhao 时间: 2008-6-5 16:06

Quote:

Originally posted by cjfcjf111 at 2008-6-5 15:53:
这个方法如同放屁,你怎么知道别人的电脑可信程序是那些,要是你能看到,也不用这样做,直接加入到可信程序就可以了

兄弟你这就不对了，你不懂就不要乱说好不？

作者: qq200878 时间: 2008-6-5 16:36
你能先想到远程查看而不被微点发现的方法再说,不然这个方法没有价值

作者: 046569 时间: 2008-6-5 21:28
因为众所周知的原因，shineast没有公布全部详情。所以让人觉得好像不能实现。
话说，这个bug是我和小宋3月份发现并上报的。shineast说的很清楚，他是“实践”，呵呵。这部分重新修复了，很快大家就能看到了。

作者: hellen 时间: 2008-6-5 23:56
至少是个思路,也要防止!

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn