微点交流论坛

标题: 请版主核实下情况，要是真的。这个也算是漏洞吧 [打印本页]

作者: baimuyi945 时间: 2009-5-2 23:49 标题: 请版主核实下情况，要是真的。这个也算是漏洞吧

灰鸽子过东方微点的思路

前几天在论坛上看见有人说现在国内还没过微点的远控!
其实是这个人不知道罢了!
过微点的思路其实很简单!
我们先分析下吧!
主流远控的运过程：
   1.双击木马运行。
　　2.木马会以隐藏窗口形式进行运行。
　　3.向C盘下的，windows 或system或system32.等等，系统关键的几个文件夹释放木马的文件。
　　4.注册服务，修改服务，或者修改注册表添加启动项，好让程序从新启动后能够再次运行。
　　5.插入ie浏览器进程和hook自身隐藏进程，外连网络。
微点查杀木马的几个绝招：
   1.正常用户使用的程序，绝对不会hook自身，实现隐藏进程，而隐藏进程的必然是木马病毒。
　　2.正常用户使用的程序，绝对不会插入其它进程，尤其是ie浏览器和svchost.exe，这两个进程，一旦插入进程进行访问网络的程序必然是木马病毒.。
   微点查杀木马就是依靠以上的几点规则来判断，你运行的程序是不是木马，然后进行拦截。
   只要木马不具备这几点特征，自然微点也就不会拦截。思路就是构造正常用户的操作，这样微点就不会报警木马。
   大家可以用vbs命令构造一个正常的用户操作，将进程结束→删除文件→复制木马→运行木马……!这样就可以通过微点的拦截。
   用这种方式启动木马大多数的主动防御都可以通过,但是要保证你的木马是免杀的!要不就算通过主动防御,被查出内存有毒后被杀是很尴尬的事!
   思路给你们了,就看你们怎么发挥了!呵呵!说句题外话!我是通过了!

   过微点演示的录象我已经发上去了!链接地址是:http://forum.darkst.com/viewthre ... e%3D1&frombbs=1
                  :(转载请注明出自暗组技术论坛

作者: Legend 时间: 2009-5-2 23:53
如果楼主有样本，请将样本发送到：virus@micropoint.com.cn 我们详细测试下！

作者: 御剑临风. 时间: 2009-5-3 01:56
算漏洞。

作者: mamsds 时间: 2009-5-3 10:36
这个思路说很久了，貌似有一定可行性，希望微点可以好好改进。

作者: ecool888 时间: 2009-5-3 18:05
样本？有么。

作者: 20090218 时间: 2009-5-3 21:26
连接打不开呀

作者: tanliang 时间: 2009-5-6 19:18
理论上可能通过，但是实际上通不过

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn