标题: 微点证实一下：黑客技巧之几个过主动防御的方法 [打印本页]

---

作者: zbjuquan     时间: 2009-3-15 22:12    标题: 微点证实一下：黑客技巧之几个过主动防御的方法

ZDNetChina服务器站 2008-09-01 技巧
　　一般的木马运行添加自启动就会被杀毒软件的主动防御或者360拦截,前几天在网上发现了几个注册表自启动的方法,效果还不错,也算是目前主动防御的一大死角了,连微点竟然也拦截不到。

　　1.cmd运行前执行的程序(被动启动)

　　HKEY_CURRENT*******

　　2.session manager(自启动)

　　HKEY_LOCAL*******

　　HKEY_LOCAL*******

　　HKEY_LOCAL*******

　　*******

　　瑞星就来了一个bsmain，用来开机查毒

　　不过xxx.exe必须用Native API，不能用Win32API

　　3.屏幕保护程序(被动启动)

　　HKEY_*******

　　其实屏幕保护程序scr文件就是PE文件

　　4.

　　HKEY_LOCAL*******

　　HKEY_LOCAL*******
　　——还有很多注册表项更改后,可以实现自启动,这里先写这几个,其他的去要测试.

　　另外,还有一个偷换***文件来被动启动的方式，控制面板文件在*****下

　　的*****文件,这个文件类似与***文件.方法给大家了,至于怎么利用,大家就各显神通吧!

[ Last edited by Legend on 2009-3-15 at 22:21 ]

---

作者: 20090218     时间: 2009-3-15 22:16
微点还不完全，不知能不能让。。。。协助开发微点。。。。？！

---

作者: Legend     时间: 2009-3-15 22:23
您好，我们会具体测试分析的。

---

作者: mj0011_2     时间: 2009-3-16 00:45
楼住说的应该是cmd的command process，还有bootexecute/setupexcute,以及屏幕保护设置，最后是CPL的控制面板文件，如果微点连这个都没防，还屏蔽了不让人知道，那真的太挫啦~

---

作者: mamsds     时间: 2009-3-16 18:04
能不能说一下，太挫啦是什么意思/

---

作者: HomeSGerMine     时间: 2009-3-16 20:43
其实过微点是很难的，他不是单纯的用程序的API来判断，而是用程序的一系列动作构成有意义的行为来判断的，你要过他，要一系列的过微点的行为，这个很难。

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn