» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 【duguyue100】最近发现的破主动防御的方法 HKEY_CLASSES_ROOT键值   作者: 标题: 【duguyue100】最近发现的破主动防御的方法 HKEY_CLASSES_ROOT键值 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  【duguyue100】最近发现的破主动防御的方法 HKEY_CLASSES_ROOT键值 发表于 2008-11-8 21:39 信息来源：噩靈戰隊[Evil-Soul Security Team]（http://x-xox-x.com）        最近学校电脑有点烂，我又是电教员，所以就承担起了杀毒的工作，结果杀毒没啥好，反而把机器弄得进不了系统了，这个郁闷啊！学校中的是lsass病毒，这个病毒据说挺无语的，因为我的U盘经常在学校和家中出没，所以我自然也就免不了对我的系统进行一次查毒。这个时候，我看到了一个方法。说是可以手工杀毒，结果我在用杀软之前就开始了手杀的试验。        根据网上的方法，要修改[HKEY_CLASSES_ROOT\.exe]的默认的键值为windowsfile，我改完了之后，所有的exe程序都不能打开了，好吧，想改回来，因为没有了exe的使用权，所以只好将"regedit.exe"改成了"regedit.com“用com程序来执行我的注册表改回原来的exefile，从这里，我最终是把系统改好了。       但是我起了邪心，我想，既然更改这个就可以将系统弄得暂时瘫痪（要知道虽然有控制权，但是所有的exe都不能执行在一般人看来还是很可怕的。）我们就可以利用下面两个东西来捉弄人了。 代码:       修改让他不能用exe的代码       Windows Registry Editor Version 5.00       [HKEY_CLASSES_ROOT\.exe]       @=hakerfile 代码:       修改让他再次能用exe的代码       Windows Registry Editor Version 5.00       [HKEY_CLASSES_ROOT\.exe]       @=exefile        而且据我测试，这个东西对系统有影响，却不会让杀软报毒。这可是一件好事，要知道，HKEY_CLASSES_ROOT键值底下对所有后缀的文件名都有定义，那么如果我们批量修改呢？这个问题就留给读者自己发挥了，而且代码也不会很长。        用处么，自然就是捉弄一下MM。用在hack上的话，那么就可以让他的杀软都没办法启动了，这个是真的。而且这个因为就是将系统的注册表改了一下，对当前的页面不会有什么影响，但是，从修改的那时起，就不能用所有的exe了。        对于一般人来说，这个东西还是很恐怖的，至于其中的 @=hackerfile 只是一个例子，还是改一些比较隐蔽的字符吧，比如说windosfile什么的。这样的话，就是一些水平比较高的人也会小晕一下子，从某种意义上将，这也算是一种突破主动防御吧（因为从该键值起，主动防御貌似就没办法用了，呵呵）（你要是狠一点，连dll文件的文件类型也给他改了，连dll都用不了，还能用什么） 所以可以这样，我们来延伸一下，你先编写好一个此类的代码，其中修改了包括exe，dll，com，chm（因为chm是可以进行url转向的）等文件类型的更改，然后等于废了所有的文件，他的系统如果不崩溃那就是杀软被废，（貌似每个杀软都有自己独有的文件类型，这些东西也可以在注册表中修改） 下面再准备一个只过表面的马（因为主动防御被我们废了）然后弄在一个压缩包里，自解压格式中有一个选项就是可以在解压前和解压后执行两个压缩包里的程序，我们在解压前填上我们的reg文件的名字，在解压后填上我们的马的名字，这样不就实现了破主动防御的方法了。 为了全面，我们考虑一些极端的问题，比如说用户禁用了注册表，好吧，那就用写reg的方式打开注册表的限制。 加入我们在写入reg之后还不能破主防，需要对方重启之后才行，那么好吧，我们可以准备一个autorun啊，现在的autorun是非常强大的。对方一旦重启，连还原都不行，文件类型很多，又没办法查到，那不就相当于没救了。（不过我发现有漏洞，就是还是可以登录网页的，因为你屏蔽什么都屏蔽不了任务管理器。所以网还是断不了的。 想起来这个我就想起来我曾经的一个思路，就是用强制删除的方法来删除杀软的关键文件，现在不用了，如果改了文件类型，就相当于废了杀软的所有文件。呵呵。而且这样告诉你，一般来讲，后缀名并不是文件类型名，如果不对注册表有极其透彻的理解，一次将十几个文件类型修改后基本就属于无法搞定的状态。如果是我的话只能重装。 但是如果大家仔细看的话这里面还是有漏洞的，就是txt可以开开，所以还是可以编写reg文件的，一旦恢复了exe的操作权，那么其他的也会一一解开，但是可怜的是，连reg都有键值在里面，所以我们要考虑周全一些，让他什么东西都开不了。 暂时想到的要搞定的文件类型有：exe，dll（待定，如果系统崩溃怎么办，我也不敢测试，虚拟机里能测，但是虚拟机里的系统算是保不住了，但是你想破坏他的系统除外（突然想到如果用DOS貌似也是可以改的，不过对付一般人已经够用了），chm（这个可是我刚才恢复exe的操作权的一大功臣，在这里，我们把它列为找方法的第一对手），reg（必须要改，这个可以阻止向系统里导入reg文件），com（和exe的功能是一样的），杀软独有的后缀名，rar，zip，7z，application（这个也待定吧，用处可能不大），cmd（把后路给他断了），txt（这个用处也非常大，建议修改掉），htm，html，asp，php（这四个建议搞掉，（我个人觉得，只要还是能搞代码，那么系统就还是有机会的）） 这个文章我也是一边想一边写的，刚开始的时候还想只写一个恶作剧的代码，后来想到了这些，希望大家看一下，下面我附上样例的reg文件，大家如果尝试的话，建议在虚拟机，或者是编写好能够恢复的reg代码，如果因为改了exe的文件类型而无法导入恢复的reg文件的话，可以找台别的机器，联系我，我会告诉你方法。 附件: 您所在的用户组无法下载或查看附件 这里我还有一个疑问，我没有去虚拟机里查看过，所以不知道PRO版的XP和HOME版的XP中对于.exe的文件类型是否是一致的，所以到时候修改的时候避免一下使用windowsfile这个东西 有人问修改了注册表的话 那别的文件是不是也会启动不了呢？ 刚开始我写这个的时候确实没有考虑到这个，那么我下面就来说一下怎么避开这个东西 方法一：只要把杀软挂了就好了，这样的话就改杀软的特有的后缀的那个值就好了，杀软立马就废了。然后我们运行木马。 方法二：如果你还想搞得大一点，可以用WINRAR的SETUP（貌似是这么拼的）命令，先执行吧dll废了，然后能开我们的木马，然后再大范围的废掉他的东西，因为还是能写数据的，所以我们未必不可把它的3389等端口打开，这样就绕过了说的这个问题。 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-12-10 10:52 046569 版主 第五城市市长 积分 190 发帖 196 注册 2007-8-13 #2   这东西要真能运行,也算是一大奇迹了...... ※ ※ ※ 本文纯属【046569】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-12-10 15:24 snhao 银牌会员 积分 1791 发帖 1782 注册 2007-6-12 #3   这样也行？ ※ ※ ※ 本文纯属【snhao】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-12-10 15:27 yurong7777777 高级用户 积分 536 发帖 534 注册 2008-9-12 #4   奇怪 ※ ※ ※ 本文纯属【yurong7777777】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-12-11 15:34 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号