» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 最新过微点方法，牛人来评论（转摘）   作者: 标题: 最新过微点方法，牛人来评论（转摘） 御剑临风 禁止发言 威武大将军 积分 2135 发帖 2192 注册 2008-8-22 #1  最新过微点方法，牛人来评论（转摘） 最新过微点方法，牛人来评论 看看人家是怎么过微点的 转自：http://soft.zol.com.cn/103/1035813.html 近四个月来，在论坛上没有看到有人发表“过微点主动防御的文章，四个月前，我发表的利用vbs过微点的方法，不知道什么时候也被微点修补了，而且这四个月来，微点主动防御变化也很大，防护规则更严谨了，而且误报率也大大提升了。 　　原来的微点，误报率很让人头疼，而现在，微点的误报率很低，即使有误报，并且微点错误的将你文件删除后，也会自动恢复过来。 　　前不久点饭网的技术总监绅博论坛的站长两位好友与我联系，希望和我共同研究一番微点现在的查杀机制，找一找微点的缺陷，再次突破微点。俗话说得好，道高一尺，魔高一丈，在黑与白的较量中，寻求技术的突破。今天我就来挑战自己，绕过微点的主动防御。 与"王者"较量 再次轻松绕过微点主动防御 　　这次我们使用灰鸽子来突破微点主动防御，但是有几点要注意 ，现在主流的木马都是通过插入ie进程，或者是svchost.exe这个进程进行穿透防火墙，而且现在主流木马都是通过hook自身，实现隐藏进程，也就是说，你使用任务管理器。     查看木马的进程是看不到的，除非使用专业的病毒防护软件进行查看才能看得到有木马进程，“冰刃”是一款内核级系统安全辅助查找器，一但我们中了类似的木马病毒后，我们使用冰刃来查看自己计算机上的进程，就会发现有一个或者多个进程显示为红色。     这里要注意，显示为红色的进程就是极有可能是木马病毒的进程，冰刃里面显示为红色的进程名称就是被hook的进程，也就是隐藏进程。 微点查杀木马的几个绝招：    　　1.正常用户使用的程序，绝对不会hook自身，实现隐藏进程，而隐藏进程的必然是木马病毒。 　　2.正常用户使用的程序，绝对不会插入其它进程，尤其是ie浏览器和svchost.exe，这两个进程，一旦插入进程进行访问网络的程序必然是木马病毒。 主流木马运过程： 　　1.双击木马运行。 　　2.木马会以隐藏窗口形式进行运行。 　　3.向C盘下的，windows 或system或system32.等等，系统关键的几个文件夹释放木马的文件。 　　4.注册服务，修改服务，或者修改注册表添加启动项，好让程序从新启动后能够再次运行。 　　5.插入ie浏览器进程和hook自身隐藏进程，外连网络。     微点查杀木马就是依靠以上的几点规则来判断，你运行的程序是不是木马，然后进行拦截。     只要木马不具备这几点特征，自然微点也就不会拦截。我的思路就是构造正常用户的操作，这样微点就不会报警木马。 实现思路： 　　1.不隐藏进程 　　2.不插入进程外连网络 　　3.不修改注册表 　　4.不创建服务来实现启动 下面我们来开始构造用户正常的操作： 　　1.打开任务管理器。 　　2.结束alg.exe这个进程。 　　3.打开system32这个目录将alg.exe删除。 　　4.打开system32这个目录将系统自带的alg备份文件删除。（防止系统自修复alg.exe） 　　4.将木马文件改名alg.exe并且复制到system32。 　　5.然后运行alg.exe 　　6.就这么简单简单突破微点。 要注意两点： 　　1.如果通过dos命令结束alg.exe，接着马上就删除文件的话，微点会马上报警可疑程序，并且会自动上传样本。 　　2.配置灰鸽子时候需要修改一些关键点， 　　（1）不注册服务 　　（2）不修改注册表 　　（3）不插入进程 　　（4）隐藏进程 　　（5）木马的释放路径是绝对路径，路径必须是C：\windows\system32\alg.exe这个进程。 　　为什么要替换alg这个服务呢，原因是alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个进程在国产的很多防火墙里面默认规则是运行通过的，也就是说直接实现穿墙，能做到防 火墙不拦截。而且不影响系统的正常运行。 　　最后使用vbs命令构造一个正常的用户操作，将进程结束→删除文件→复制木马→运行木马…… 　　使用Winrar自解压方式，将VBS和木马文件进行捆绑，木马文件释放到d盘，然后使用vbs命令将木马复制到system32目录下。如果释放到c盘，在复制到system32下，微点可能会报警。 总结技术要点： 　　这个方法主要是构造一个用户正常的操作，但是要注意，使用VBS命令，进行每一步的操作要进行三秒钟的延迟，这样等于把这一系列操作进行了分解步骤，让命令运行后，停一停，在执行下一步的操作。然后从d盘把灰鸽子木马复制到 system32下在用vbs命令运行即可。 　　这样系统在从新启动，后原来的木马文件会被当作是系统文件，跟着系统直接启动起来。木马本身不会启动，等于是替换了一个服务将木马启动。心心点点的说了许多，就此停笔睡觉。 　　注：不想说太多，文中有些纰漏，您在测试过程中遇到的问题，就是我不想写的地方，请自己解决，呵呵。 　　特别说明：此文可能很多地方存在一些技术上的遗漏和不足，有哪里说的不对的地方请各位朋友指点，互相学习交流，没有任何企图和目的。很多地方我讲的不是很专业，只代表个人的一点看法，希望各位牛人不要笑话我，谢谢您的合作给大家说了说思路，不要跟我要测试样本，感兴趣的朋友可以自己按照文章中的思路去揣摩研究，文章中有一个技术点点我省略了，但是对整体思路印象一点也不影响，我不是什么黑客，不懂黑客知识，不与任何黑客组织有联系，谢绝该方面打听。 ※ ※ ※ 本文纯属【御剑临风】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 斩尽天下人 御剑临风 天下归一 泱泱中华 四海臣服 御剑临风 唯我独尊 2009-3-19 21:42 jaber 版主 使用与技巧区版主 积分 2861 发帖 2835 注册 2006-6-6 #2   老帖能不能不发出来？？？  我拜托你搜索下先 再这样，我通知此版版主 ※ ※ ※ 本文纯属【jaber】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ XP2（原版未打补丁） 单独微点预升级 2009-3-19 22:09 snhao 银牌会员 积分 1791 发帖 1782 注册 2007-6-12 #3   太老了，我还以为是什么新玩意。 ※ ※ ※ 本文纯属【snhao】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-3-20 08:17 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号