微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » (转)僵尸还魂——自启动+kill微点  

 13  1/2  1  2  > 
作者:
标题: (转)僵尸还魂——自启动+kill微点
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#1  (转)僵尸还魂——自启动+kill微点

本文将在7月的《黑客防线》与大家见面。

最近摸索出一套利用注册表垃圾来实现自启动的猥琐方法,呵呵!要知道每个人的电脑上都会有注册表垃圾的,这些东西有部分是很有危害的,呵呵!不明说,大家也恍然醒悟了吧!

自启动后,干什么呢,当然首先要杀“杀软”了!这次先拿微点下刀。

实际上注册表中关于sys的启动项是被标记为Start=1的,也就是IO子系统来加载的,而微点的驱动乱七八糟,有的是1,有的是2,所以基本上我们的加载完了,他还在慢慢悠悠的磨机呢!杀微点的时候一定要等到他全部启动了,再杀,我目前的做法是延时40s后再杀。

通过在vm中测试,我把整个思路,编程实现了一遍,把每个环节都过了遍。收获贼多贼多!贼希望与大家分享!

本次技术学习,技术实践,耗时1周,学到很多东西!强烈感谢Sysnap,Sudami 大牛的指点;感谢看雪,感谢cctv及各地tv。。。

shineastdh  2008年05月16日 星期五 下午 10:02
刚才在内测版上 测试通过了
http://hi.baidu.com/shineastdh/b ... 51f240d6887d0a.html

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-5-17 17:22
查看资料  发送邮件  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#2  

感谢作者对微点的支持! 已上报微点会尽快解决

我通过作者文章透露的内容用google找到了方法HKEY_LOCAL_MACHINE/system/CurrentControlSet/service/...下start键值为1的设备驱动程序
http://hi.baidu.com/hack_zone/bl ... 78ede737d12278.html

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-5-17 17:34
查看资料  发送邮件  访问主页  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#3  

mp110001、2、4、8为2
mp110006、7、9、mp110011为1
mp110003、5  mp110010、12、13为0
mp110005为3
MPSVCService为2
不知为什么这么设计
顺便发现了微点对于重命名这些名字没有防御,修改成功.编辑内容也没有防御

[ Last edited by qq200878 on 2008-5-17 at 20:03 ]

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-5-17 20:00
查看资料  发送邮件  发短消息   编辑帖子
gudan
高级用户





积分 605
发帖 579
注册 2007-7-20
#4  

呵呵,该不会是在注册表某某项某些或者一堆键值中做点文章吧,那个估计没什么意义,随便搞一下什么都能挂了,以前用那个优化过微点的启动速度,不过没有多大反应

※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-5-17 20:11
查看资料  发短消息   编辑帖子
gudan
高级用户





积分 605
发帖 579
注册 2007-7-20
#5  



  Quote:
Originally posted by qq200878 at 2008-5-17 20:00:
mp110001、2、4、8为2
mp110006、7、9、mp110011为1
mp110003、5  mp110010、12、13为0
mp110005为3
MPSVCService为2
不知为什么这么设计
顺便发现了微点对于重命名这些名字没有防御,修改成功.编辑内容也没 ...

那是你用注册表直接编辑的哈

※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-5-17 20:12
查看资料  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#6  

不是,以前是不能改的

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-5-17 20:27
查看资料  发送邮件  发短消息   编辑帖子
gudan
高级用户





积分 605
发帖 579
注册 2007-7-20
#7  



  Quote:
Originally posted by qq200878 at 2008-5-17 20:27:
不是,以前是不能改的

呵呵

驱动都加载了什么不能够做呢?建议微点也做一个内核吧,就像NTLDR那样用DBR装载,然后Hook了NTLDR过滤恶意驱动装载,过滤ntoskrnl、hal一些变态的东西,把整个windows都hook了就全部都不怕了,除了硬件级别以及主引导都无可匹敌,那时候就天下第三啦

灌水

※ ※ ※ 本文纯属【gudan】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-5-17 20:39
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#8  



  Quote:
Originally posted by gudan at 2008-5-17 20:39:
呵呵

驱动都加载了什么不能够做呢?建议微点也一个内核吧,就像NTLDR那样用DBR装载,然后Hook了NTLDR过滤恶意驱动装载,过滤ntoskrnl、hal一些变态的东西,把整个windows都hook了就全部都不怕了,除了硬件级别以及主引导都无可匹敌,那时候就天下第三啦

楼上反病毒的建议很好 超版看看啊

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-5-17 20:42
查看资料  发送邮件  访问主页  发短消息   编辑帖子
qq200878
中级用户




积分 456
发帖 452
注册 2007-11-17
#9  

微点下一代的研发目标

※ ※ ※ 本文纯属【qq200878】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-5-17 20:45
查看资料  发送邮件  发短消息   编辑帖子
Alpha_Boy
中级用户





积分 235
发帖 225
注册 2008-5-17
#10  

哇,好厉害,楼上的都是专业的……我一点都看不懂-.-

只能简单地说,加油,祝你们取得成功了。

※ ※ ※ 本文纯属【Alpha_Boy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-5-17 21:02
查看资料  发送邮件  发短消息   编辑帖子
 13  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号