微点交流论坛

标题: 设置“win95兼容性”劫持微点360safe [打印本页]

作者: 点饭的百度空间 时间: 2009-3-28 00:40 标题: 设置“win95兼容性”劫持微点360safe

发件人消息发送时间
QQ517826104 360Safe had fixed it. 009-03-27 20:21
http://hi.baidu.com/517826104/bl ... d999cb7831aa3b.html

2009年03月22日星期日 21:45在0GiNr上看到的帖子。

http://www.0ginr.com/bbs/viewthread.php?tid=2315

据说ByPass掉至少

天网(3.0.0.1014) ESET(3.0.669.0) 360(5.1.0.1002)

能够使得这些程序在关闭后无法运行。

----------------------------

360最新版本已封杀。

----------------------------

用ProcMon看了一下，原来是修改注册表键值：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\文件详细路径名

修改成WIN95（REG_SZ）

下次启动程序的时候，系统通过兼容模式（Win95）运行程序，
对应程序不兼容Win95而无法启动。比如360和微点。

360

微点

其实这个东西等效于在程序的属性页里面设置“兼容性”，然后设置成Win95。
本质上跟IFEO差不多……

话说“IFEO的新故事”里面提到……
http://bbs.micropoint.com.cn/showthread.asp?tid=48436&fpage=1

[引用]

如何不改名的启动被ifeo劫持的XX,答曰用CreateProcess参数dwCreationFlags带DEBUG_ONLY_THIS_PROCESS或者DEBUG_PROCESS。
改名启动是过去时了....
IFEO是在Ring3完成的，貌似而且不涉及ntdll内部。
所以如果用native api来完成进程启动的话，也是可以绕过ifeo的~

估计对这个东西也有效。没试过。感兴趣的同学玩一下……

P.S.
其实把注册表键值改成这个东西更有趣……

WIN95 256COLOR 640X480 DISABLETHEMES DISABLECICERO

其他主题：
【QQ517826104】(VB6)废掉卡巴主动防御KIS8 & KIS2009，试验成功！
http://bbs.micropoint.com.cn/sho ... highlight=517826104

【QQ517826104】为什么SetParent还能用来过微点……
http://bbs.micropoint.com.cn/sho ... highlight=517826104

【QQ517826104】想打造个性化的微点.
http://bbs.micropoint.com.cn/sho ... highlight=517826104

【QQ517826104】删除注册表项后微点打不开了？！
http://bbs.micropoint.com.cn/sho ... highlight=517826104

【QQ517826104】NOD32 BUG
http://bbs.micropoint.com.cn/sho ... highlight=517826104

作者: HomeSGerMine 时间: 2009-3-28 11:25
哇~看来微点工作人员要注意了~

作者: meieg 时间: 2009-3-29 18:26
顶上去~~~希望微点团队能看到!!!

作者: mamsds 时间: 2009-3-30 17:10
不过，病毒如何实现这个功能？
貌似微点会拦截模拟鼠标点击.....

作者: mamsds 时间: 2009-3-30 17:12
最新测试结果——微点可以运行！！！

作者: twfy914 时间: 2009-3-31 16:51
吓我一跳
我也试了试 Vista xp 都没事楼主是怎么弄的是不是搞错了

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn