微点交流论坛 - 主动防御 - 设置“win95兼容性”劫持微点360safe

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 设置“win95兼容性”劫持微点360safe

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 设置“win95兼容性”劫持微点360safe

发件人消息发送时间
QQ517826104 360Safe had fixed it. 009-03-27 20:21
http://hi.baidu.com/517826104/bl ... d999cb7831aa3b.html

2009年03月22日星期日 21:45在0GiNr上看到的帖子。

http://www.0ginr.com/bbs/viewthread.php?tid=2315

据说ByPass掉至少

天网(3.0.0.1014) ESET(3.0.669.0) 360(5.1.0.1002)

能够使得这些程序在关闭后无法运行。

----------------------------

360最新版本已封杀。

----------------------------

用ProcMon看了一下，原来是修改注册表键值：

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\文件详细路径名

修改成WIN95（REG_SZ）

下次启动程序的时候，系统通过兼容模式（Win95）运行程序，
对应程序不兼容Win95而无法启动。比如360和微点。

360

微点

其实这个东西等效于在程序的属性页里面设置“兼容性”，然后设置成Win95。
本质上跟IFEO差不多……

话说“IFEO的新故事”里面提到……
http://bbs.micropoint.com.cn/showthread.asp?tid=48436&fpage=1

[引用]

如何不改名的启动被ifeo劫持的XX,答曰用CreateProcess参数dwCreationFlags带DEBUG_ONLY_THIS_PROCESS或者DEBUG_PROCESS。
改名启动是过去时了....
IFEO是在Ring3完成的，貌似而且不涉及ntdll内部。
所以如果用native api来完成进程启动的话，也是可以绕过ifeo的~

估计对这个东西也有效。没试过。感兴趣的同学玩一下……

P.S.
其实把注册表键值改成这个东西更有趣……

WIN95 256COLOR 640X480 DISABLETHEMES DISABLECICERO

其他主题：
【QQ517826104】(VB6)废掉卡巴主动防御KIS8 & KIS2009，试验成功！
http://bbs.micropoint.com.cn/sho ... highlight=517826104

【QQ517826104】为什么SetParent还能用来过微点……
http://bbs.micropoint.com.cn/sho ... highlight=517826104

【QQ517826104】想打造个性化的微点.
http://bbs.micropoint.com.cn/sho ... highlight=517826104

【QQ517826104】删除注册表项后微点打不开了？！
http://bbs.micropoint.com.cn/sho ... highlight=517826104

【QQ517826104】NOD32 BUG
http://bbs.micropoint.com.cn/sho ... highlight=517826104

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2009-3-28 00:40

HomeSGerMine
银牌会员

■■微点护卫队队长■■

积分 4888
发帖 4785
注册 2009-3-8
来自哪里有微点，哪里就有我

#2

哇~看来微点工作人员要注意了~

※ ※ ※ 本文纯属【HomeSGerMine】个人意见，与【微点交流论坛】立场无关※ ※ ※

东方之荣耀，中华之微点！---Microp●int

2009-3-28 11:25

meieg
注册用户

积分 93
发帖 93
注册 2007-7-31
来自湖南怀化

#3

顶上去~~~希望微点团队能看到!!!

※ ※ ※ 本文纯属【meieg】个人意见，与【微点交流论坛】立场无关※ ※ ※

[color=red][size=6]天使之所以会飞，是因为她们把自己看得很轻……[/size][/color]

2009-3-29 18:26

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#4

不过，病毒如何实现这个功能？
貌似微点会拦截模拟鼠标点击.....

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-3-30 17:10

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#5

最新测试结果——微点可以运行！！！

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2009-3-30 17:12

twfy914
中级用户

初级会员

积分 245
发帖 238
注册 2006-2-8

#6

吓我一跳
我也试了试 Vista xp 都没事楼主是怎么弄的是不是搞错了

※ ※ ※ 本文纯属【twfy914】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-3-31 16:51

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号