微点交流论坛

标题: [冰封巨龙] 绕过360 7.1 - 不重启直接加载驱动思路 [打印本页]

作者: 点饭的百度空间 时间: 2010-6-21 10:18 标题: [冰封巨龙] 绕过360 7.1 - 不重启直接加载驱动思路

2010-06-20 10:14

这次我们的思路是：先建立注册表信息，然后通过注入系统关键进程，通过注入DLL加载驱动

这样子360抓到的加载驱动的进程是系统进程，然后呢。。。。。

建立注册表360也会拦截，怎么建360不做声呢？参考如下地址：

绕过安全软件Nt驱动加载检测思路 [冰封巨龙（zhuSjm）原创] ：
http://bbs.micropoint.com.cn/showthread.asp?tid=71662&fpage=1

1 首先必须先建立注册表信息，不然即使是注入系统关键进程要加载驱动 360 也会拦截（360这时不认进程认注册表？---囧）

2 注入一个加载驱动的DLL到系统关键进程，如Winlogon.exe 然后搞定，360不做声了

所以，我怀疑 360拦截驱动是通过注册表信息分析和HOOK底层函数分析结合起来判断来拦截的，当然，个人观点而已

作者: 360hips 时间: 2010-6-22 22:04
这个方法根本没用，不管加载的什么，注册表是什么，加载恶意驱动都会被拦截，意淫太可怕

作者: littlefritz 时间: 2010-6-25 02:08

Quote:

Originally posted by 360hips at 2010-6-22 22:04:
这个方法根本没用，不管加载的什么，注册表是什么，加载恶意驱动都会被拦截，意淫太可怕

这是MJ0011？还是哪位数字牌官人？

作者: xiaobangdelei 时间: 2010-7-2 01:51

Quote:

Originally posted by littlefritz at 2010-6-25 02:08:

这是MJ0011？还是哪位数字牌官人？

这是数字大官人！膜拜一下，用气可嘉呀。

作者: xie123654 时间: 2010-7-4 21:49
数字的杀手~哈哈，真囧

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn