微点交流论坛

标题: [skyshell] 数字签名技术过360封锁 & 针对支付宝钓鱼 [打印本页]

作者: 点饭的百度空间 时间: 2010-10-22 21:10 标题: [skyshell] 数字签名技术过360封锁 & 针对支付宝钓鱼

数字签名技术过360封锁
2010/10/22 17:33

一般360是不会检查拥有完整数字签名的程序的，有了合法的数字签名等于了合法，但是需要像可信数字证书发布商交大笔的钱的，像VeriSign。我们要想也像他们那样合法，就必须得找其他免费的数字证书发布商啦，但是免费的都不在你本机受信任数字证书发布机构名单里。所以两者都得搞定。 1，要拿到免费数字证书发布商给你的根证书，2。要在本机将这个免费的数字证书发布商注册到可信机构里面去。完成了这两部，你的这个驱动，DLL的啥的只要用这个根证书去给你生成的程序签证。你这个程序就合法了，360也就认为合法了。不予阻击。

说了这么，具体做法是：

1。找个免费的数字证书发布商，比如CA365 注册一个免费的用于发布程序的数字证书，它会给你的根证书,下载下来就行了,me.cer。网站还会有个机构的根证书要求你安装，你下载下来就行了，free.cer。

2.将free.cer安装，使CA356这个证书机构到受信任的机构里去，什么办法呢，导入注册表，通过Crpyt32 提供的Api来导入也行，甚至可以用Hiv文件导入。

3.用下载的根证书，去签名你的驱动或者程序等。怎么签，微软有专门工具 signtool,签好了就是一个有数字签名的程序啦。而且在你本机是合法的，不信自己试试，再用个驱动加载工具啥的试试，360就不会拦截了，驱动直接进入R0.本人做过实验的，具体细节没啥好说的。

这样不管是exe dll sys 只要签上，360都视之无物，安全放行。

说个思路给大家而已，具体代码以后有机会会传上来，今天就到这了，很少上来。

K杀软过主动的办法
2010/05/20 00:08

首先，IPsec设置禁止一切杀毒软件的升级云服务IP地址，这么一来，杀毒软件的判别只能依靠本机，不能依靠云服务器。查毒功力减掉一半。设置方法，导入IPsec设置好的注册表信息。可以利用系统自带的IPsec策略来设置后，导出。当然你还可以通过别的办法，禁止访问网络。
第二，通过devnew.dll 和 setupapi.dll 来加载WDM驱动，不同的内核驱动，一般的主防都会防护的。虽然360也会进行风险探测，对有风险的WDM进行拦截，但是如果wdm写的够像普通的虚拟设备驱动，一般没啥反应。
第三，到了R0,我就不用多说了。各显神通，没有结束不掉的进程。

用支付宝的童鞋请注意啦！
2010/08/26 11:17

现在钓鱼技术真是厉害呀，昨日截获一个马儿，尽然直接修改转账页面HTML，直接将转账对象修改成黑客账户，而且第一次转账还弹出转账失败，其实已经转成功了，第二次的时候，它有更改回原来页面，再次就会成功。用户真是一点发觉也没有，其实自己已经转了两次啦，一次转给黑客，一次转给真正的用户。隐蔽性极强，童鞋们，要小心呀。而且还添加了伪造数字证书，逃避一些杀软的检测。

解决办法：使用非IE内核的浏览器进行转账和支付，比如火狐

作者: mp2007 时间: 2010-10-22 22:00
又出新东西了？
晕菜哦，看来还是继续换主防+主杀毒测试吧。感觉有时候主杀毒好像不是太强

作者: 坐照 时间: 2010-10-25 13:40
此消彼长。

作者: soonbest 时间: 2010-10-25 15:39
非IE内核的可以转账吗？似乎中国网银一般不支持火狐。不知道支付宝对火狐支持如何?

作者: f8312519 时间: 2010-10-26 17:44
目前网银根本不支持非IE内核浏览的说

作者: 真诚之约 时间: 2010-10-26 21:24
不过什么马毒的，都得中了才会盗取～只要人小心警惕一些，不中招就没事，中招了，啥都是白搭

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn