weidianbucuo
注册用户
积分 136
发帖 136
注册 2009-11-22
|
#1 绕过微点主动防御软件中的注册表保护
在《黑客防线》上看到一篇文章,文章分析了绕过微点主动防御软件中的注册表保护功能。开启IE标题保护后,使用regedit修改注册表项键值,结果这种直接修改保护项的方法被微点拦截。但如果是间接修改呢?使用hiv文件导入方式间接修改!经测试成功写入注册表!微点主动防御成功被绕过。而且这种绕过方式在网上已经盛行多时,也有很多主动防御被hiv文件导入方式绕过。希望微点重视一下,听讲微点主动防御2.0近期发布,我不知道是否已经能拦截hiv文件了,这里只是基于2010年1.2版本来说。在win32 API层面上说,直接修改注册表调用了ntopenkey和ntnotify changekey.创建注册项调用了ntcreatekey.这些API函数被微点hook(挂钩 )。但hiv文件导入方式是调用了ntRestorekey.而这个API没有被ooK,因而微点被绕过了。不知这个算不算建议?还有就是基于NTFS数据流的感染型病毒,因基于NTFS分区windows7系统的流行而被黑客大规模使用,请微点公司注意一下。
转帖的
| |
※ ※ ※ 本文纯属【weidianbucuo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
