Board logo

标题: 干掉微点的思路 [打印本页]
作者: wantcm     时间: 2007-5-4 10:50    标题: 干掉微点的思路

1。弄一个最简单的病毒,也就是代码最简单,运行效率最高的那种,用特殊压缩方法压缩处理。
2。弄一个死循环程序。
3。定义运行脚本:
A:执行死循环程序1号副本,检测系统资源,如果系统空闲资源>0则运行死循环程序2号副本,如果系统空闲资源>0则运行死循环程序3号......
B:如果系统空闲资源=0,则解压缩病毒文件,并运行
好了,电脑已经处于半死机状态了,因为病毒运行效率高于微点,而微点获得不到足够的系统资源,就形同虚设了。

因为死循环程序不是病毒,所以不会被查杀,而真正的病毒已经被处理过,也不会被杀掉。

曾经有个想法,把病毒编译为2进制代码,保存在TXT文件中,另外编写个小程序,能够提取TXT文件的内容出来,在CMD.EXE中用DEBUG方式运行。
作者: Legend     时间: 2007-5-4 10:58
病毒和反病毒的斗争,犹如魔道之争,永远不会停歇。

欢迎楼主和其他各位喜爱信息安全技术的朋友广开思路,畅所欲言。东方微点交流论坛愿为广大信息安全爱好者提供技术交流的氛围和空间。

[ Last edited by Legend on 2007-5-4 at 11:00 ]
作者: 张哲上     时间: 2007-5-4 11:25
真希望谁能做出来这个病毒,哈哈,我没有这么高的水平
作者: flo     时间: 2007-5-4 13:19
楼主对于微点似乎有些不了解,微点直接Hook一些关于注册表、文件操作的Native API。病毒要做一些潜在危害行为时,比方说,修改注册表,都会先转到微点的代码中,如果系统真的没有资源以至于微点动不起来,那么病毒也没有希望,因为它的操作要经过微点。
更进一步地讲,这个消耗系统资源的程序不可能一直运行着,哪怕重新启动后,微点只要还记得有这样一个恶意程序,就还有机会处理。
作者: 反黑先锋     时间: 2007-5-4 13:52
微点会监控记录未知程序的行为 对比病毒攻击规则库 发现有害就阻止程序继续运行 然后处理还原
作者: onlyiknow     时间: 2007-5-5 21:10


  Quote:
Originally posted by flo at 2007-5-4 13:19:
楼主对于微点似乎有些不了解,微点直接Hook一些关于注册表、文件操作的Native API。病毒要做一些潜在危害行为时,比方说,修改注册表,都会先转到微点的代码中,如果系统真的没有资源以至于微点动不起来,那么病毒 ...

这么说,只要不把程序加入到信任里,意味着,所有数据都得从微点过一遍?
作者: laolang     时间: 2007-5-5 23:36
都是高手,佩服佩服
作者: wkwx     时间: 2007-5-6 11:18
观看学习中……
作者: flo     时间: 2007-5-6 12:48


  Quote:
Originally posted by onlyiknow at 2007-5-5 21:10:



这么说,只要不把程序加入到信任里,意味着,所有数据都得从微点过一遍?

与文件操作、注册表操作有关的请求都要过一遍微点,即便是信任程序也要经过它,只不过微点知道它是可信的,就不分析它了。
但是,文件操作、注册表操作毕竟还是少见的操作,对性能影响不大的。
作者: a393310872     时间: 2007-5-6 17:08
LZ的想法都不可行.....你光考虑让微点没资源使用.把自己给忘了.

与其照你这么说.我还不如通过枚举子窗口.当发现微点出提示的时候模拟选中放行并且通过.这样估计都比你那些要安全...
作者: alleynsun     时间: 2007-5-7 00:39
楼上的方法,很早以前见过,通过自动处理可以避免的
作者: 林克     时间: 2007-5-7 12:53
毒和反病毒的斗争,犹如魔道之争,永远不会停歇
作者: qq263     时间: 2007-5-7 13:20
你们是高手,佩服啊
作者: ysg109     时间: 2007-5-7 14:07
都是看不懂的东西
作者: jr21066     时间: 2007-5-7 19:17
文本文件和二进制文件的存放格式是不一样的.
文本文件是不能存入二进制数了
作者: wantcm     时间: 2007-5-10 01:56
文本文件不能放2进制数?
2进制数不就是1和0么?文本文件怎么不能放?
16进制数都能放何况2进制
用文本文件存放病毒代码的好处就是代码是纯文本格式,不能直接运行,另外内含一些字体格式等附加数据,可以影响杀软的判断.
作者: a393310872     时间: 2007-5-10 09:53
当然可以存放.
加密图片就可以采用这种思路.转换进制
作者: langwlolf520     时间: 2007-5-10 10:26
觀看學習中  武裝下自己  先支持下微點
作者: 恶贯满盈     时间: 2007-5-10 19:33
厉害,大家都是高手,佩服.
作者: sjsk     时间: 2007-5-10 21:41    标题: 李云龙

他娘的老子就推荐了很多人用微点,老子用了一年了电脑也没出什么大问题.就连老子子的QQ名也改成杀毒专家来推广微点.不为别的就为这么好的东西,为刘旭先生的不平.老子也要顶他娘的
作者: jr21066     时间: 2007-5-11 08:31


  Quote:
Originally posted by wantcm at 2007-5-10 01:56:
文本文件不能放2进制数?
2进制数不就是1和0么?文本文件怎么不能放?
16进制数都能放何况2进制
用文本文件存放病毒代码的好处就是代码是纯文本格式,不能直接运行,另外内含一些字体格式等附加数据,可以影响杀软的 ...

文本文件只能存放可见字符,二进制文件可以存放所有的字符,里边还包括了一些不可见的控制字符,象回车,换行等.

1和0指的是位 Bits
文本文件里的1和0 翻译成二进制就是 00000001 00000000
不明白的多搜索搜索



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn