微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点软件使用交流 » 关于木马过微点主动防御的方法,绝对可行!!已经测试成功!!  

 102  4/11  <  1  2  3  4  5  6  7  8  >  >| 
作者:
标题: 关于木马过微点主动防御的方法,绝对可行!!已经测试成功!!
hgzfzq
新手上路





积分 43
发帖 43
注册 2006-7-4
#31  



  Quote:
Originally posted by a393310872 at 2007-3-12 22:52:
严格来说没什么大的意义.

还是没过微点.无意义的方法....LZ有点天真了.按LZ的方法我大可以模拟按键把冰刃也关了.呵呵.还是期待LZ能想出更实质性的方法.

引用微软经典的那句."物理接触"

呵呵,网上的确有高手提出,进入系统的 ring 0层 和 ring 1 层是可以过卡巴6。0的主动防御的,现在新世纪网安基地里发布的一个 过卡巴 6。0 注册表监控的演示程序就是利用的这个方法,不过要深入系统内部,我暂时还没达到那个水平,而且即使是做到了,那个除非是木马的原作者改写他们木马的源代码,否则话,就算是编写出了那样的演示程序,你觉得我因该怎么利用呢?
别告诉我,要我再去写个远程控制木马哈。。。。。

※ ※ ※ 本文纯属【hgzfzq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-13 09:58
查看资料  发送邮件  发短消息   编辑帖子
somelee
新手上路





积分 2
发帖 2
注册 2007-3-13
#32  有想法

这个问题就是有没有想到的问题。解决起来也很简单。支持软件。

※ ※ ※ 本文纯属【somelee】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-13 10:27
查看资料  发送邮件  发短消息   编辑帖子
a393310872
新手上路





积分 42
发帖 42
注册 2006-11-22
#33  

要是能进入ring0.那也不用多啥了.哈哈

但是进入ring0这个过程这个举动.我个人觉得是会被HIPS类监视到的吧?

※ ※ ※ 本文纯属【a393310872】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-13 15:12
查看资料  发送邮件  发短消息   编辑帖子
金属记忆
新手上路




积分 12
发帖 12
注册 2007-2-28
来自 乌鲁木齐
#34  ?????

请问?我选的是自动处理,不报警,怎么样过?

※ ※ ※ 本文纯属【金属记忆】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-13 16:25
查看资料  发送邮件  发短消息  QQ   编辑帖子
onemoretouch
中级用户




积分 362
发帖 354
注册 2007-2-9
#35  



  Quote:
Originally posted by 金属记忆 at 2007-3-13 09:25:
请问?我选的是自动处理,不报警,怎么样过?

这样当然就没戏了罗,不过大部分人选的都不是自动处理的

※ ※ ※ 本文纯属【onemoretouch】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

支持国产,做个有良知的中国人!
2007-3-13 20:05
查看资料  发短消息   编辑帖子
xautofzx
新手上路





积分 18
发帖 18
注册 2007-3-23
#36  

有道理。

※ ※ ※ 本文纯属【xautofzx】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-23 15:18
查看资料  发短消息   编辑帖子
maomaobear
新手上路





积分 34
发帖 34
注册 2007-2-11
#37  

恩,可不可以想论坛认证那样,每次都出来一个字符框,要输入东西才能关闭呢?

※ ※ ※ 本文纯属【maomaobear】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-24 15:56
查看资料  发短消息   编辑帖子
newgnay
注册用户





积分 56
发帖 56
注册 2007-2-6
#38  

呵呵,31楼的需要补课罗,因为Windows下是只有两种级别:ring0 和ring3,没有ring1,ring2...

※ ※ ※ 本文纯属【newgnay】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-24 21:10
查看资料  发送邮件  发短消息   编辑帖子
newgnay
注册用户





积分 56
发帖 56
注册 2007-2-6
#39  

楼主的方法应该是可行的,而且稍做修改,只要不停地监视所有窗口,并模拟鼠标单击"跳过","不删除"等,应该更厉害(呵呵,前面已经有人说过了).
   不过这已经不属于技术上"绕过"杀软,而有点像"赖皮"了,就像熊猫关闭杀软一样.
对付这种"赖皮"的病毒倒挺麻烦(因为这种点子是层出不穷的),需要在弹出报警对话框时对这个对话框加保护,即让病毒无法捕捉到对话框的标题和内容,这当然是很容易做到的,只要hook一些API(包括用户级和内核级)就行了.

※ ※ ※ 本文纯属【newgnay】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-3-24 21:16
查看资料  发送邮件  发短消息   编辑帖子
CHENBIN
新手上路




积分 38
发帖 41
注册 2007-2-2
来自 福建
#40  

微点应该让木马还没有运行就先拦截下来然后报警,这样的话,程序还没有运行就不可能让微点跳过了

※ ※ ※ 本文纯属【CHENBIN】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

CHENBIN--HTTP://WWW.25989.CN/
2007-3-24 21:25
查看资料  访问主页  发短消息  QQ   编辑帖子
 102  4/11  <  1  2  3  4  5  6  7  8  >  >| 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号