Board logo

标题: 一个很平民的过微点的方法,希望微点进行改进。 [打印本页]
作者: maomaobear     时间: 2009-4-3 23:15    标题: 一个很平民的过微点的方法,希望微点进行改进。

这个思路还是从windows的服务下手,先把windows自己的系统保护服务给关了,然后替换系统文件,用木马文件代替系统文件,这样微点就查不出来了。


建议微点加入对windows注册表和系统文件的保护,即使是正常操作,也提示一下,并且要求用户输入确认的数字或者文字才能继续,避免提示被批处理干掉。



通杀目前绝大部分主动防御——包括卡巴微点360等
 
By  huanjue2

  过年了找点东西出来发,本来08年的时候就准备发贴的,可还没到09年各大杀软厂商纷纷更新了2009版,相当敬业的说。

当时测试的都只是XXX2008版,辛辛苦苦测试完没几天就更新了,无奈又不想另外再去下载更新测试,所以一拖拖到现在,过年放点小假,

赶紧发了吧。主要测试的有卡巴、微点、瑞星、江民、360的主动防御,默认安装设置,表面查杀已经有很多很多了此贴不讨论。

  在这之前也有个别朋友提到过一些,但都不完整,杀软的主防无非就是拦截的释放文件、添加注册表启动信息、进程注入等等,还有一

个特征码拦截。我们主要做的就是替换系统自带服务的文件,以达到让系统服务启动木马的效果,以前的替换BIST等服务是修改服务文件指向,

修改的注册表,是会被拦截的。直接替换文件,而不是修改,从而不去操作注册表。因为启动项在装系统的时候就已经摆在那了,所以过主防

就没有太大难度了。

  替换系统文件有一个问题就是系统自己带的DEP保护,Windows文件保护。测试结果是用其他文件替换系统文件会提示这个:



其实这个问题很好解决,就是把和DEP相关的一个服务CryptSvic停止掉,那么DEP的作用就暂时失效了,重启后再运行是不会有提示的。其中

还有一些小细节与今天测试的没多大联系就不详细介绍了。

  把以上方法结合起来就什么没大问题了,下面来看一下仅个人对各个杀软的分析:

1. 卡巴 :当时测试的KAV2009没有一点提示,而KIS2009就会提示低限制组,有一个数字签名检测,弄一个上去就没问题了。记得卡巴7.0的

     时候会拦截进程注入,后来新版本的倒没有提示了。看来是想做得更接近人性化一点,但是那样就离HIPS越来越远了。

2. 微点 :很多人没用过,而用过的人都说很牛B,百毒不侵。BBS里贴着用了微点后几年没有中过毒的调查贴(很早以前看到的,不知现在还

     有没有),我就在想了,就算中毒了,怕也不知道吧,当然不排除有些人家确实没中毒的。纯粹的主防牌产品,都说缺个扫描功能,

     其实是有扫描的,不过好象是扫描病毒样本的MD5,修改一个字节就不杀了。根据一系列程序行为判断是否为安全程序或是木马病毒,

     除了包含写启动项行为之外,其他大部分操作都不拦截,也是一个又想做HIPS又想人性化的主。

3. 瑞星&江民&360:瑞星#¥@…特征码,自己慢慢改吧。360主要拦截注册表、文件名,这儿不写注册表,所以无提示,还有个云查杀,就是

     MD5查杀,实在要过也不是没办法,目前它不成熟,免疫他的方法也不成熟,文件查杀不讨论。 江民和瑞星一样,在默认安装配置下

     不需要多修改生成就能过的,以前的默认配置也是要拦截进程注入的,现在不拦了,人性化嘛、对大家都好。
转载请注明出自暗组技术论坛 http://www.darkst.com/bbs/,本贴地址:http://www.darkst.com/bbs/viewthread.php?tid=33246
作者: qq200878     时间: 2009-4-4 07:31
这个能成功也算个奇观了.我看了一下,很多地方都不对。我也测过这个鸽子,记得微点早加特征了。而且鸽子外连时微点会报警的。所以怀疑他事先作国手脚

[ Last edited by qq200878 on 2009-4-4 at 07:43 ]
作者: mamsds     时间: 2009-4-4 17:56
希望有人能亲测一下
作者: HomeSGerMine     时间: 2009-4-4 22:39
改天我去试试
作者: 御剑临风     时间: 2009-4-5 20:27
这个不能过微点,微点报告是未知木马 未知后门!

鸽子在千变万化(难败东方微点)!
作者: 坐照     时间: 2009-4-6 00:34
我就不测了。
作者: 点饭的百度空间     时间: 2009-4-7 09:34
关注下 应该过不了吧
作者: 李莫愁     时间: 2009-4-7 10:31
理论与实际是有差别滴,说与做是两码事,我路过打酱油,顺便瞅瞅:cool:
作者: hackrui2008     时间: 2009-4-9 13:07
过不了滴,我测了,怎么改都会被查出来,提示未知病毒。
作者: 神盾2009     时间: 2009-4-9 14:28
我就不掺和了。
作者: 20090218     时间: 2009-4-9 16:28
试试就知道
作者: wcyxj123     时间: 2009-4-9 18:47
lz是自虐啊!病毒要运行才能起作用的。
作者: simonfour     时间: 2009-4-10 16:48
这样能过微点???怀疑
作者: girlsyouhua     时间: 2009-4-12 16:46
既然主动防御,应该不仅仅依靠病毒库吧。
有病毒库的存在,是为了双保险?
希望微点能像卡巴斯基一样,成为自主品牌的“全功能”杀毒软件,避免现在的处境。
作者: lsj301     时间: 2009-4-13 17:27
学习学习



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn