微点交流论坛 - 主动防御 - 过微点主动防御

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 过微点主动防御

月_翔
注册用户

积分 56
发帖 56
注册 2008-1-26

#1 过微点主动防御

本人在黑客防线上看到的：

这篇文章，只是给大家提供一个很好的思路，请大家再去挖掘更多的方法，突破微点主动东防御，今天使用鸽子来突破微点的主动防御，现说下如何来配置鸽子
安装路径选择D盘！因为经过我测试，如果文件释放到，系统目录下，任何位置，如windows,或者system32微点都会报警，所以选择其他盘符，这样就不会报警。启动项设置，如图2都不选择，让他留空，无论是写注册表或者写服务，都会报警，所以我们就不写,在填写高级选项，只选择隐藏进程。不能选择插入IE,，选择插入IE,微点同样会报警，接下来生成服务端。
这样生成的木马微点就不会报警了！但是有个问题！虽然可以上线，但是从新启动后，就不能加载程序了！因为我们没有选择启动方式。这里我们需要通过另外的一种方式来弥补这个问题！让木马从新启动后，能够正常的运行上线！
我们使用VBS 写一段代码，让他运行指定位置的EXE,也就是说运行我们释放到D盘里面的鸽子，代码如下
On Error Resume Next
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("D:\iexplorer.exe -install 516 iloveyou",2)
，大家都能看懂把。我就不多说了。
接下来我们把这段代码用TXT文本改成VBS。我们用winrar自解压，如图4

让他释放到，C:\Documents and Settings\All Users\「开始」菜单\程序\启动这这个目录下，生成自解压的EXE,随便起名字，到了最后了！我们使用捆绑器将生成的鸽子和用winrar封装过的vbs，捆绑到一起。就实现了完美过微点主动防御的这么一个小的利用方法。

最后说下总结，鸽子配置，不选择服务和注册表启动，不使用插入IE,(只要插入进程就会报警)，把木马的释放路径选择为D:|盘，任意的名字。然后让写vbs,让vbs实现运行指定位置的程序，在使用winrar将vbs进行封装处理，让他释放到启动项里面。最后使用捆绑器将winrar自解压和鸽子捆绑到一起。微点防御无任何提示报警。

注明：花了一下午的时间进行了研究，很多地方还存在缺陷，不是很完美。算的上提供个思路给大家把！不管方法如何！起码能突破。

转帖注明：黑客防线首发 by：chike

有兴趣的组装一下看看能不能过。

[ Last edited by 月_翔 on 2008-2-25 at 12:00 ]

※ ※ ※ 本文纯属【月_翔】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-25 11:58

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#2 AD

[200803目录]入侵手机、对抗微点主防、搜寻内核Rootkit、内核驱动检测隐藏进程、搜寻内核Rootkit
http://hi.baidu.com/micropoint/b ... proactive%20defense

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-25 12:12

images
银牌会员

积分 1429
发帖 1376
注册 2007-11-17

#3

貌似这个之前有人说过，重启后就被微点发现处理了。

※ ※ ※ 本文纯属【images】个人意见，与【微点交流论坛】立场无关※ ※ ※

All accepted English
For a slim figure, share your food with the hungry. 给images发短消息

2008-2-25 12:31

eaglesage
新手上路

积分 10
发帖 10
注册 2007-11-26

#4

是啊貌似可以的

※ ※ ※ 本文纯属【eaglesage】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-2-26 12:43

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号