微点交流论坛

标题: 【暗组】黑洞过"微点"等主动防御演示(讨论) + 如何才能过微点？ [打印本页]

作者: 点饭的百度空间 时间: 2008-11-6 21:07 标题: 【暗组】黑洞过"微点"等主动防御演示(讨论) + 如何才能过微点？

Legend : 【黑洞软件】如果用户按正常的远程控制类软件配置使用，微点软件默认是放行的；如果用户按照远程控制类木马配置，经官方测试微点软件是可以拦截并处理成功的。
http://bbs.micropoint.com.cn/showthread.asp?tid=8041

微点病毒快报黑洞2006 后门程序Backdoor.Win32.BlackHole.iu
http://bbs.micropoint.com.cn/sho ... .Win32.BlackHole.iu

【黑失败】在"微点"面前果然很失败

总之很好很强大，在微点面前不愧为“黑失败”，只有自杀功能完成了，也就是前面代码为什么会以复件方式出现的原因了。微点两次报警全部放过，房子吔拆了，只不过拆的不是很高名，自杀水平倒是不错，重启后一个病毒进程都没发现，原因见微点日志，^_^。
详情：http://hi.baidu.com/micropoint/b ... 90ebe97609d71e.html

【关于模拟点击 & 删除注册表项后微点无法打开】
模拟点击无法过微点。
注册表项你手动删除成功说明了微点的人性化；其实微点对注册表有保护，除了用户手动删除以外，是不允许通过其他方式进行删除的。例如用批处理删除显示内存分配访问无效--（远程删除或停止服务也不行）。

Dark Security Team
暗安全技术小组(暗组)是来自民间的安全技术讨论小组。
无尽的黑暗，无尽的追求；
为技术而生，共享,自由。

【暗组】黑洞过微点等主防演示（讨论）
感觉到在安装正常的一些软件微点是不报的，所以才有了这个思路，不过真的就成功了：）
以下是我修改服务端的做法：
一、生成的时候选择%program file%的路径
二、添加文件版权（这个是从一个系统自己的文件里的版权的copy）；
三、生成的文件名是系统你真实存在的（而且版权信息也来自系统本身的这个同名的文件）。

【暗组】免杀讨论如何才能过微点！
据说删除了HKEY_LOCAL_MACHINE\SOFTWARE\Micropoint\Anti-Attack
后重启后微点就失效了。我做了测试确实成功。我的思路是这样的
1.首先导出HKEY_LOCAL_MACHINE\SOFTWARE\Micropoint\Anti-Attack的内容为1.reg，然后删除HKEY_LOCAL_MACHINE\SOFTWARE\Micropoint\Anti-Attack。
2.使计算机重启。
3.运行木马
4.导入1.reg。最后运行微点（我测试过微点还是可以正常运行的！）。
这个就是我的思路。但是我在做到第一步删除Micropoint\Anti-Attack的时候就遇到问题了reg delete 命令和“-HKEY_LOCAL_MACHINE\SOFTWARE\Micropoint\Anti-Attack”reg文件都失败。。。没有办法删除。看那位高手可以支一招！！！