Board logo

标题: [892992428] 过360主动提示和瑞星主动的思路 [打印本页]
作者: 点饭的百度空间     时间: 2010-9-25 10:16    标题: [892992428] 过360主动提示和瑞星主动的思路

现在的360很变态,一方面联合360杀毒,360安全卫士,后台收集数据进行联合防御策略根据我的研究,360实时监视你的电脑,如果你的某个文件操作不符合系统规范时,比如后台安装服务,插入进程,COPY文件到系统目录,他就将父文件等全部后台上传,进入360服务器后,进行MD5定位,这时,如果有如果有其他电脑同MD5文件进行操作时,在360安全卫士木马防火墙就会给你拦截,360杀毒也会查杀,这就是360公司所谓的云查杀,当然他还有复杂的计算系统,这里就不一一道出了针对360的这套防御系统,我们要怎么做才能通过呢?

针对这套系统做了以下几个策略:

1、  针对后台上传

后台上传很烦人,现在基本上远控人气好的的几个小时被杀,差的一两天,但是,360后台上传有一个弊端,中国的网络基本上都是ADSL,那么上传的最大理论值是56K,所以一般大文件,他不会上传,那么我就针对这个问题,在被控端安装时,对起进行体积增加,这样,一旦文件大了 他也就不上传了,这样就会保证你的免杀持久那么有很多客户或者内奸,一旦更新了免杀,他直接上传检测怎么办?针对这个问题,我进行了自我增大优化,我远控的更新全部是在服务器更新,下载免杀时,更新器直接将更新的免杀在主控端进行自我增加,增加很大,那么一般人也就不会上传杀毒网或者360后台上传了,因为几十兆的文件,他上传要几个小时,谁愿意费这劲呢?是不是。那么这么大的文件,生成的被控端安装程序比较大怎么办?其实,我在主控端免杀增加的体积,不是无的放矢的,我可以增加当然可以提取,创建安装程序时,提取原来的文件,这样最大可能保证你的免杀持久。

2、  如果你的文件被360杀掉怎么办?

其实360实时查杀并不是真正的查杀,他只是针对文件的MD5值进行校验,如果正确,就确定这个文件时毒,如果不正确就不是毒,改变MD5值的方法太多了,换个图标,改个版本号什么的,所以我在服务端做了个自动免杀,将文件进行变动,我服务器2小时更新一次,你360不是实时查杀吗?你不是快吗,你快我更快,看谁更牛X。另外,因为我安装被控端时,对被控端安装文件进行了体积增大,一增大,MD5值当然更不一样了,这样就进入良性循环,360从此无忧。

个人经验:
360主动防御(360提示)
现在过360提示很麻烦,你插进程不行,建服务也不行,更不能动注册表,NND,你够狠,可是难道这样我就没办法了吗?你狠我更狠,老子安装时扫描被控端的启动列表,你一台电脑总得有几个启动项吧,老子把你启动的程序给换了,启动我的程序后,我再启动你原来的程序,我也不动你的注册表 也不建服务,我看你怎么办?等你把我这招防御住了,我还有几套备用方案呢。

瑞星主动 (貌似现在这个方法已经不行了)
其实瑞星就一2B,过主动很简单,安装的时候加装一个窗体文件,不能纯DLL文件,窗体你可以设置  成最小的一个点,这样就能过了,是不是超级简单?

虽然反病毒厂商升级都很快,一般发出具体方法出来的都不管用了,不过也能保持一段时间的效果。
作者: myliukeyu     时间: 2010-9-25 15:33
朋友怎么加入了个人的偏见就像是一个枪手?这样不好啊,现在是和协社会要和协的,不然会产生不良恶果的。
作者: soonbest     时间: 2010-9-26 10:31
看来楼上不了解百度空间。多看看就明白了。他可是最热心的点饭。
作者: xitongin     时间: 2010-10-9 21:49
360十足的恶心,
作者: 坐照     时间: 2010-10-10 12:54
学习了。
作者: f8312519     时间: 2010-10-11 18:26
呵呵.能否过微点了
作者: wlx81702     时间: 2010-10-14 20:39
LZ很厉害,提到的免杀方法简单易行,望微点参考



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn