微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 【shineast】偷梁换柱——再次实践了一个绕过微点所有监控的方法  

 11  1/2  1  2  > 
作者:
标题: 【shineast】偷梁换柱——再次实践了一个绕过微点所有监控的方法
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  【shineast】偷梁换柱——再次实践了一个绕过微点所有监控的方法


看雪软件安全论坛 西安交大shineast
http://hi.baidu.com/shineastdh/b ... e65436c895593a.html

2008年06月02日 星期一 下午 01:21

思路:首先检测微点中有哪些可信程序,如果没有的话,88,继续潜伏;如果有的话,例如xxx.exe,然后把自己的木马和xxx.exe偷换一下,例如我的机器上,xxx.exe=ftpserv.exe (一个小小的ftp服务端程序)


然后,用下面的脚本替换下这个ftpserv.exe为我们的木马(muma.exe):

ren d:\ftpserv\ftpserv.exe ftpserv_bak.exe
copy muma.exe d:\ftpserv\ftpserv.exe /y

然后运行这个ftpserv.exe,由于这个程序是微点可信的程序,所以微点不会有任何拦截的,干坏事随便了!



仔细看的话,会发现,图标都变了。我这个木马是个没免杀的彩虹桥,偷梁换柱后,程序日子过得很爽!

思考

1.微点有没有考虑保护可信程序不被篡改?

答:感觉微点考虑到了,为什么这样说,下图为证:


我没有打第二个勾,说明我不允许修改可信程序,但是我测试的时候发现微点这里有bug,偷梁换柱的时候,微点Y根就没拦截,很奇怪,希望微点程序员考虑一下;

2.微点的可信程序记录在哪里?能否想方设法修改这个文件呢?

答:目前我正在搞ing,哈哈!
PS:发现微点存储可信程序列表的文件貌似是个加密文件。

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-6-2 17:33
查看资料  发送邮件  访问主页  发短消息   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#2  

那我要是不添加可信程序呢?

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-2 17:38
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#3  



  Quote:
Originally posted by snhao at 2008-6-2 17:38:
那我要是不添加可信程序呢?

“首先检测微点中有哪些可信程序,如果没有的话,88,继续潜伏”

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-6-2 17:56
查看资料  发送邮件  访问主页  发短消息   编辑帖子
gudan
高级用户





积分 605
发帖 579
注册 2007-7-20
#4  

人眼看到和程序看到应该是两回事,不过也存在着潜在威胁啊

※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-2 18:58
查看资料  发短消息   编辑帖子
feiyu8
新手上路





积分 41
发帖 41
注册 2008-5-6
#5  

技术贴

※ ※ ※ 本文纯属【feiyu8】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-5 09:44
查看资料  发送邮件  发短消息   编辑帖子
seaurface
新手上路





积分 12
发帖 12
注册 2008-5-29
#6  

这么可怕啊!真厉害!

※ ※ ※ 本文纯属【seaurface】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-5 12:00
查看资料  发送邮件  发短消息   编辑帖子
cjfcjf111
新手上路





积分 15
发帖 15
注册 2008-3-12
#7  

这个方法如同放屁,你怎么知道别人的电脑可信程序是那些,要是你能看到,也不用这样做,直接加入到可信程序就可以了

※ ※ ※ 本文纯属【cjfcjf111】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-5 15:53
查看资料  发送邮件  发短消息   编辑帖子
snhao
银牌会员




积分 1791
发帖 1782
注册 2007-6-12
#8  



  Quote:
Originally posted by cjfcjf111 at 2008-6-5 15:53:
这个方法如同放屁,你怎么知道别人的电脑可信程序是那些,要是你能看到,也不用这样做,直接加入到可信程序就可以了

兄弟你这就不对了,你不懂就不要乱说好不?

※ ※ ※ 本文纯属【snhao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-5 16:06
查看资料  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#9  

你能先想到远程查看而不被微点发现的方法再说,不然这个方法没有价值

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-5 16:36
查看资料  发送邮件  发短消息   编辑帖子
046569
版主

第五城市市长


积分 190
发帖 196
注册 2007-8-13
#10  

因为众所周知的原因,shineast没有公布全部详情。所以让人觉得好像不能实现。
话说,这个bug是我和小宋3月份发现并上报的。shineast说的很清楚,他是“实践”,呵呵。这部分重新修复了,很快大家就能看到了。

※ ※ ※ 本文纯属【046569】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-6-5 21:28
查看资料  访问主页  发短消息   编辑帖子
 11  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号