微点交流论坛 - 微点软件使用交流 - 请版主核实下情况，要是真的。这个也算是漏洞吧

微点交流论坛 » 微点软件使用交流 » 请版主核实下情况，要是真的。这个也算是漏洞吧

baimuyi945
新手上路

积分 3
发帖 3
注册 2009-4-30

#1 请版主核实下情况，要是真的。这个也算是漏洞吧

灰鸽子过东方微点的思路

前几天在论坛上看见有人说现在国内还没过微点的远控!
其实是这个人不知道罢了!
过微点的思路其实很简单!
我们先分析下吧!
主流远控的运过程：
   1.双击木马运行。
　　2.木马会以隐藏窗口形式进行运行。
　　3.向C盘下的，windows 或system或system32.等等，系统关键的几个文件夹释放木马的文件。
　　4.注册服务，修改服务，或者修改注册表添加启动项，好让程序从新启动后能够再次运行。
　　5.插入ie浏览器进程和hook自身隐藏进程，外连网络。
微点查杀木马的几个绝招：
   1.正常用户使用的程序，绝对不会hook自身，实现隐藏进程，而隐藏进程的必然是木马病毒。
　　2.正常用户使用的程序，绝对不会插入其它进程，尤其是ie浏览器和svchost.exe，这两个进程，一旦插入进程进行访问网络的程序必然是木马病毒.。
   微点查杀木马就是依靠以上的几点规则来判断，你运行的程序是不是木马，然后进行拦截。
   只要木马不具备这几点特征，自然微点也就不会拦截。思路就是构造正常用户的操作，这样微点就不会报警木马。
   大家可以用vbs命令构造一个正常的用户操作，将进程结束→删除文件→复制木马→运行木马……!这样就可以通过微点的拦截。
   用这种方式启动木马大多数的主动防御都可以通过,但是要保证你的木马是免杀的!要不就算通过主动防御,被查出内存有毒后被杀是很尴尬的事!
   思路给你们了,就看你们怎么发挥了!呵呵!说句题外话!我是通过了!

   过微点演示的录象我已经发上去了!链接地址是:http://forum.darkst.com/viewthre ... e%3D1&frombbs=1

转载请注明出自暗组技术论坛

※ ※ ※ 本文纯属【baimuyi945】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-5-2 23:49

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#2

如果楼主有样本，请将样本发送到：virus@micropoint.com.cn 我们详细测试下！

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2009-5-2 23:53

御剑临风.
禁止访问

积分 625
发帖 659
注册 2009-4-10

#3

算漏洞。

※ ※ ※ 本文纯属【御剑临风.】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-5-3 01:56

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#4

这个思路说很久了，貌似有一定可行性，希望微点可以好好改进。

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-5-3 10:36

ecool888
新手上路

积分 5
发帖 5
注册 2009-4-22

#5

样本？有么。

※ ※ ※ 本文纯属【ecool888】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-5-3 18:05

20090218
中级用户

积分 238
发帖 238
注册 2009-2-19

#6

连接打不开呀

※ ※ ※ 本文纯属【20090218】个人意见，与【微点交流论坛】立场无关※ ※ ※

学习！交友！顶微点！

2009-5-3 21:26

tanliang
新手上路

积分 20
发帖 20
注册 2009-5-6

#7

理论上可能通过，但是实际上通不过

※ ※ ※ 本文纯属【tanliang】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-5-6 19:18

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号