微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 一个很平民的过微点的方法,希望微点进行改进。  

 15  1/2  1  2  > 
作者:
标题: 一个很平民的过微点的方法,希望微点进行改进。
maomaobear
新手上路





积分 34
发帖 34
注册 2007-2-11
#1  一个很平民的过微点的方法,希望微点进行改进。

这个思路还是从windows的服务下手,先把windows自己的系统保护服务给关了,然后替换系统文件,用木马文件代替系统文件,这样微点就查不出来了。


建议微点加入对windows注册表和系统文件的保护,即使是正常操作,也提示一下,并且要求用户输入确认的数字或者文字才能继续,避免提示被批处理干掉。



通杀目前绝大部分主动防御——包括卡巴微点360等
 
By  huanjue2

  过年了找点东西出来发,本来08年的时候就准备发贴的,可还没到09年各大杀软厂商纷纷更新了2009版,相当敬业的说。

当时测试的都只是XXX2008版,辛辛苦苦测试完没几天就更新了,无奈又不想另外再去下载更新测试,所以一拖拖到现在,过年放点小假,

赶紧发了吧。主要测试的有卡巴、微点、瑞星、江民、360的主动防御,默认安装设置,表面查杀已经有很多很多了此贴不讨论。

  在这之前也有个别朋友提到过一些,但都不完整,杀软的主防无非就是拦截的释放文件、添加注册表启动信息、进程注入等等,还有一

个特征码拦截。我们主要做的就是替换系统自带服务的文件,以达到让系统服务启动木马的效果,以前的替换BIST等服务是修改服务文件指向,

修改的注册表,是会被拦截的。直接替换文件,而不是修改,从而不去操作注册表。因为启动项在装系统的时候就已经摆在那了,所以过主防

就没有太大难度了。

  替换系统文件有一个问题就是系统自己带的DEP保护,Windows文件保护。测试结果是用其他文件替换系统文件会提示这个:



其实这个问题很好解决,就是把和DEP相关的一个服务CryptSvic停止掉,那么DEP的作用就暂时失效了,重启后再运行是不会有提示的。其中

还有一些小细节与今天测试的没多大联系就不详细介绍了。

  把以上方法结合起来就什么没大问题了,下面来看一下仅个人对各个杀软的分析:

1. 卡巴 :当时测试的KAV2009没有一点提示,而KIS2009就会提示低限制组,有一个数字签名检测,弄一个上去就没问题了。记得卡巴7.0的

     时候会拦截进程注入,后来新版本的倒没有提示了。看来是想做得更接近人性化一点,但是那样就离HIPS越来越远了。

2. 微点 :很多人没用过,而用过的人都说很牛B,百毒不侵。BBS里贴着用了微点后几年没有中过毒的调查贴(很早以前看到的,不知现在还

     有没有),我就在想了,就算中毒了,怕也不知道吧,当然不排除有些人家确实没中毒的。纯粹的主防牌产品,都说缺个扫描功能,

     其实是有扫描的,不过好象是扫描病毒样本的MD5,修改一个字节就不杀了。根据一系列程序行为判断是否为安全程序或是木马病毒,

     除了包含写启动项行为之外,其他大部分操作都不拦截,也是一个又想做HIPS又想人性化的主。

3. 瑞星&江民&360:瑞星#¥@…特征码,自己慢慢改吧。360主要拦截注册表、文件名,这儿不写注册表,所以无提示,还有个云查杀,就是

     MD5查杀,实在要过也不是没办法,目前它不成熟,免疫他的方法也不成熟,文件查杀不讨论。 江民和瑞星一样,在默认安装配置下

     不需要多修改生成就能过的,以前的默认配置也是要拦截进程注入的,现在不拦了,人性化嘛、对大家都好。
转载请注明出自暗组技术论坛 http://www.darkst.com/bbs/,本贴地址:http://www.darkst.com/bbs/viewthread.php?tid=33246

※ ※ ※ 本文纯属【maomaobear】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-3 23:15
查看资料  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#2  

这个能成功也算个奇观了.我看了一下,很多地方都不对。我也测过这个鸽子,记得微点早加特征了。而且鸽子外连时微点会报警的。所以怀疑他事先作国手脚

[ Last edited by qq200878 on 2009-4-4 at 07:43 ]

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-4 07:31
查看资料  发送邮件  发短消息   编辑帖子
mamsds
银牌会员




积分 1373
发帖 1360
注册 2008-3-15
来自 乌克兰
#3  

希望有人能亲测一下

※ ※ ※ 本文纯属【mamsds】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.
2009-4-4 17:56
查看资料  发送邮件  发短消息  QQ   编辑帖子
HomeSGerMine
银牌会员

■■微点护卫队队长■■


积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
#4  

改天我去试试

※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方之荣耀,  中华之微点!---Micropint
2009-4-4 22:39
查看资料  发送邮件  发短消息  QQ   编辑帖子
御剑临风
禁止发言

威武大将军



积分 2135
发帖 2192
注册 2008-8-22
#5  

这个不能过微点,微点报告是未知木马 未知后门!

鸽子在千变万化(难败东方微点)!

※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

斩尽天下人
御剑临风 天下归一
泱泱中华 四海臣服
御剑临风 唯我独尊
2009-4-5 20:27
查看资料  发短消息   编辑帖子
坐照
银牌会员

正式版用户


积分 1426
发帖 1422
注册 2009-3-24
来自 湖北宜都
#6  

我就不测了。

※ ※ ※ 本文纯属【坐照】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-6 00:34
查看资料  发短消息  QQ   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#7  

关注下 应该过不了吧

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2009-4-7 09:34
查看资料  发送邮件  访问主页  发短消息   编辑帖子
李莫愁
高级用户




积分 646
发帖 644
注册 2009-3-23
#8  

理论与实际是有差别滴,说与做是两码事,我路过打酱油,顺便瞅瞅

※ ※ ※ 本文纯属【李莫愁】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-7 10:31
查看资料  发送邮件  发短消息   编辑帖子
hackrui2008
新手上路





积分 2
发帖 2
注册 2009-4-9
#9  

过不了滴,我测了,怎么改都会被查出来,提示未知病毒。

※ ※ ※ 本文纯属【hackrui2008】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-9 13:07
查看资料  发送邮件  发短消息   编辑帖子
神盾2009
新手上路





积分 28
发帖 28
注册 2009-3-14
#10  

我就不掺和了。

※ ※ ※ 本文纯属【神盾2009】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2009-4-9 14:28
查看资料  发送邮件  发短消息   编辑帖子
 15  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号