hgzfzq
新手上路
积分 43
发帖 43
注册 2006-7-4
|
#1 关于木马过微点查杀的方法
微点查杀病毒说到底,是行为查杀,和那个绿鹰PC万能精灵有点象.
要研究写一个行为杀毒的杀毒软件,我们必须把木马的这些步骤记录下来,然后分析什么行为是这个木马所特有的,从中指定杀毒方案。
记录木马的这些步骤我们只要使用两个软件就可以做到了。
一是:木马辅助查找器 用于监视 复制到系统目录的文件、木马进程、写入的服务的启动项目 、注册表启动项目 、访问网络的文件
二是:注册表监视器 用于监视 写入注册表启动的项目
具体做法参见黑客动画吧VIP免杀教程的 第 13 课~~
我把彩虹桥木马的启动项换成这个
启动键名 程序路径
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
微点就不杀了~~
呵呵~~
微点~~继续努力啊~~
注:erocheck.exe是Nero的CD烧录软件的一部分。所以替换它,对系统无太大影响
| |
※ ※ ※ 本文纯属【hgzfzq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2006-7-4 04:52 |
|
zqrsc
版主
反病毒区版主
积分 1133
发帖 1118
注册 2005-11-22
来自 .net
|
#2
楼上确定这个替换后
1 木马功能没有受损? (请安装并运行该木马测试效果)
2 当你右键关联 或 完成刻录相关操作时 系统如何响应的? 木马是否被重载并报错?
| |
※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~ |
|
|
|
2006-7-4 08:57 |
|
惯睡旺
注册用户
新手上路
积分 103
发帖 103
注册 2006-1-18
|
#3
LZ说的替换是不是有点类似绑定的意思.就是说你启动了Nero的CD烧录软件的主程序erocheck.exe,就激活了彩虹桥木马,第一:LZ你敢肯定这个所谓的木马就没有被损坏,第二,你敢肯定激活了这个木马后,这个木马就有骚扰机器的嫌疑.
还有你的行为分析理论过于片面化,建议你多看看微点的技术特点.置顶的帖子多看看.
| |
※ ※ ※ 本文纯属【惯睡旺】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
~~~ [SIZE=4][COLOR=Red]俺的微点,俺做主[/COLOR][/SIZE] ~~~ |
|
|
|
2006-7-4 09:26 |
|
烟雨无声
注册用户
新手上路
积分 134
发帖 134
注册 2006-3-7
|
#4
楼主说的好象很简单啊!我虽然不是很懂但我觉得行为判断技术也不会这么点东西的吧?
| |
※ ※ ※ 本文纯属【烟雨无声】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 11:24 |
|
hgzfzq
新手上路
积分 43
发帖 43
注册 2006-7-4
|
#5
嘿嘿
修改后的彩虹桥木马完全可以正常运行,功能完好无损~~
只是 Nero的CD烧录软件无法正常工作~~
我说过了
具体做法参见黑客动画吧VIP免杀教程的 第 13 课~~
由浩天 主讲的,此人是免杀的高手~~
| |
※ ※ ※ 本文纯属【hgzfzq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 12:09 |
|
hgzfzq
新手上路
积分 43
发帖 43
注册 2006-7-4
|
#6
另外我在说一点
特征码扫描技术并非是绝对落后,比如说德国的杀毒软件 NOD32,该杀毒软件能跟踪指针,再加上其强悍的高级启发式扫描技术,一般的特征码修改法根本对它无效,反正我至今为止,还不能通过特征码修改法过 NOD32 ,目前对付NOD32最有效的方法是,先自己随遍加个壳,然后再手工脱掉,重建输入表函数,这样才过了NOD32.
而且我说的替换彩虹桥木马的注册表启动项,是用16进制修改工具 winhex,把木马原来的注册表启动项,改成:
启动键名 程序路径
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
只需要通过搜索原先木马启动的字符串在全部替换成 Nero的CD烧录软件的启动项.
当然,这样做的代价是:
Nero的CD烧录软件无法正常工作了~~
| |
※ ※ ※ 本文纯属【hgzfzq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 12:28 |
|
天道酬勤
中级用户
初级会员
积分 208
发帖 188
注册 2006-5-2
|
#7
楼主是否试过重启机器,这是微点是否有报?
| |
※ ※ ※ 本文纯属【天道酬勤】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 12:44 |
|
sxh_sxh
版主
灌水区版主
积分 818
发帖 810
注册 2005-12-10
|
#8
楼主用木马替换正常软件有点偷换概念。
楼主应将Nero彻底卸载,再装上木马进行测试。
| |
※ ※ ※ 本文纯属【sxh_sxh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
偶真想*
|
|
|
|
2006-7-4 12:56 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2006-7-4 12:57 |
|
天道酬勤
中级用户
初级会员
积分 208
发帖 188
注册 2006-5-2
|
#10
即使用木马替换了正常的程序应该也过不了微点的,我做过木马替换正常程序的测试,运行后微点依然报了
| |
※ ※ ※ 本文纯属【天道酬勤】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2006-7-4 12:59 |
|
