微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » [冰封巨龙] 绕过360 7.1 - 不重启直接加载驱动 思路  

作者:
标题: [冰封巨龙] 绕过360 7.1 - 不重启直接加载驱动 思路
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  [冰封巨龙] 绕过360 7.1 - 不重启直接加载驱动 思路

2010-06-20 10:14

这次我们的思路是: 先建立注册表信息,然后通过注入系统关键进程,通过注入DLL加载驱动

这样子360抓到的加载驱动的进程是系统进程,然后呢。。。。。

建立注册表360也会拦截,怎么建360不做声呢?参考如下地址:

  绕过安全软件Nt驱动加载检测思路 [冰封巨龙(zhuSjm)原创] :
http://bbs.micropoint.com.cn/showthread.asp?tid=71662&fpage=1

1 首先必须先建立注册表信息 , 不然即使是注入系统关键进程要加载驱动 360 也会拦截(360这时不认进程认注册表 ?---囧)

2 注入一个加载驱动的DLL到系统关键进程,如Winlogon.exe 然后搞定,360不做声了

所以,我怀疑 360拦截驱动是通过注册表信息分析和HOOK底层函数分析结合起来判断来拦截的,当然,个人观点而已

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2010-6-21 10:18
查看资料  发送邮件  访问主页  发短消息   编辑帖子
360hips
新手上路





积分 6
发帖 6
注册 2010-6-22
#2  

这个方法根本没用,不管加载的什么,注册表是什么,加载恶意驱动都会被拦截,意淫太可怕

※ ※ ※ 本文纯属【360hips】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-6-22 22:04
查看资料  发送邮件  发短消息   编辑帖子
littlefritz
版主

微点帮帮团团长


积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
#3  



  Quote:
Originally posted by 360hips at 2010-6-22 22:04:
这个方法根本没用,不管加载的什么,注册表是什么,加载恶意驱动都会被拦截,意淫太可怕

这是MJ0011?还是哪位数字牌官人?

※ ※ ※ 本文纯属【littlefritz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

2010-6-25 02:08
查看资料  发送邮件  访问主页  发短消息  QQ   编辑帖子
xiaobangdelei
新手上路





积分 42
发帖 42
注册 2010-6-6
#4  



  Quote:
Originally posted by littlefritz at 2010-6-25 02:08:

这是MJ0011?还是哪位数字牌官人?

这是数字大官人!膜拜一下,用气可嘉呀。

※ ※ ※ 本文纯属【xiaobangdelei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

我要测试64位2.0主防,哈哈!
2010-7-2 01:51
查看资料  发短消息   编辑帖子
xie123654
新手上路





积分 10
发帖 10
注册 2010-7-4
#5  

数字的杀手~哈哈 ,真囧

※ ※ ※ 本文纯属【xie123654】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2010-7-4 21:49
查看资料  发送邮件  发短消息  QQ   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号