微点交流论坛

标题: 绕过微点主动防御软件中的注册表保护 [打印本页]

作者: weidianbucuo 时间: 2010-6-16 14:34 标题: 绕过微点主动防御软件中的注册表保护

在《黑客防线》上看到一篇文章，文章分析了绕过微点主动防御软件中的注册表保护功能。开启IE标题保护后，使用regedit修改注册表项键值，结果这种直接修改保护项的方法被微点拦截。但如果是间接修改呢？使用hiv文件导入方式间接修改！经测试成功写入注册表！微点主动防御成功被绕过。而且这种绕过方式在网上已经盛行多时，也有很多主动防御被hiv文件导入方式绕过。希望微点重视一下，听讲微点主动防御2.0近期发布，我不知道是否已经能拦截hiv文件了，这里只是基于2010年1.2版本来说。在win32 API层面上说，直接修改注册表调用了ntopenkey和ntnotify changekey.创建注册项调用了ntcreatekey.这些API函数被微点hook(挂钩 )。但hiv文件导入方式是调用了ntRestorekey.而这个API没有被ooK，因而微点被绕过了。不知这个算不算建议？还有就是基于NTFS数据流的感染型病毒，因基于NTFS分区windows7系统的流行而被黑客大规模使用，请微点公司注意一下。

转帖的

作者: 死亡使者 时间: 2010-6-19 11:16 标题: 绕过微点主动防御软件中的注册表保护

路过

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn