微点交流论坛 - 微点主动防御软件 - 简单的写一下过微点主动防御

buyuefeng
注册用户

积分 50
发帖 50
注册 2008-1-20

#1 简单的写一下过微点主动防御

简单的写一下过微点主动防御
这篇文章，只是给大家提供一个很好的思路，请大家再去挖掘更多的方法，突破微点主动东防御，今天使用鸽子来突破微点的主动防御，现说下如何来配置鸽子
安装路径选择D盘！因为经过我测试，如果文件释放到，系统目录下，任何位置，如windows,或者system32微点都会报警，所以选择其他盘符，这样就不会报警。启动项设置，都不选择，让他留空，无论是写注册表或者写服务，都会报警，所以我们就不写,在填写高级选项，只选择隐藏进程。不能选择插入IE,，选择插入IE,微点同样会报警，接下来生成服务端。
这样生成的木马微点就不会报警了！但是有个问题！虽然可以上线，但是从新启动后，就不能加载程序了！因为我们没有选择启动方式。这里我们需要通过另外的一种方式来弥补这个问题！让木马从新启动后，能够正常的运行上线！
我们使用VBS 写一段代码，让他运行指定位置的EXE,也就是说运行我们释放到D盘里面的鸽子，代码如下
On Error Resume Next
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("D:\iexplorer.exe -install 516 iloveyou",2)
接下来我们把这段代码用TXT文本改成VBS。我们用winrar自解压，让他释放到，C:\Documents and Settings\All Users\「开始」菜单\程序\启动这这个目录下，生成自解压的EXE,随便起名字，到了最后了！我们使用捆绑器将生成的鸽子和用winrar封装过的vbs，捆绑到一起。就实现了完美过微点主动防御的这么一个小的利用方法。

最后说下总结，鸽子配置，不选择服务和注册表启动，不使用插入IE,(只要插入进程就会报警)，把木马的释放路径选择为D:|盘，任意的名字。然后让写vbs,让vbs实现运行指定位置的程序，在使用winrar将vbs进行封装处理，让他释放到启动项里面。最后使用捆绑器将winrar自解压和鸽子捆绑到一起。微点防御无任何提示报警。

※ ※ ※ 本文纯属【buyuefeng】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-12 19:44

buyuefeng
注册用户

积分 50
发帖 50
注册 2008-1-20

#2

以上是我到深度论坛里转来的，希望微点能解决

※ ※ ※ 本文纯属【buyuefeng】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-12 19:49

爱上我是你
注册用户

积分 180
发帖 180
注册 2007-8-20

#3

以这篇贴子来说，微点的防御能力还是有待加强哦！

※ ※ ※ 本文纯属【爱上我是你】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-3-12 20:44

dsl5
高级用户

积分 578
发帖 520
注册 2007-6-16
来自广州

#4

这个不可能！以2006黑防专版为例，就算不配置任何启动方式，运行服务端也一样会报警，只不过就未必是木马，而是间谍或者后门，他这里只是在启动上做文章，这样想过微点很艰难！

已经有人按照他这个思路实践过，结果是：重启后杀鸽肉喝鸽汤！

[ Last edited by dsl5 on 2008-3-12 at 20:51 ]

※ ※ ※ 本文纯属【dsl5】个人意见，与【微点交流论坛】立场无关※ ※ ※

该点饭点了叉烧饭

2008-3-12 20:49

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号