剑神无边
中级用户
积分 265
发帖 273
注册 2010-5-1
|
#1 远控过云查杀方法
云服务器不分析,只是安装了瑞星金山卡巴等分析
只要你的木马过virscan.org(这样可以加入MD5的白名单),并且没写注册表,没写启动目录没安装到win目录
第一时间上传到云服务器,这样就可以过3年
千万别动注册表
千万别写启动目录
把远控安装到
C:\Program Files\Baidu
C:\Program Files\Intel
C:\Program Files\Lenovo
C:\Program Files\Symantec
C:\Program Files\MSXML 4.0
中的任何一个目录
高手替换系统dll启动(最好捆绑文件验证,系统更新等可有可无得系统dll,不回引起蓝屏)
菜鸟捆绑优化大师或者迅雷启动
2大原因,注定你的木马被云查杀干掉
1.写注册表了,或者写启动目录了,这里的文件只要不是白名单,云查杀就干你
解决方法:伪造为gdi32.dll复制到所有目录,或者捆绑所有dll文件启动
捆绑c:\Program Files\Thunder Network\Thunder\Program下面任一个.dll文件启动,这个方法不错
2.把文件下到windows/下面的目录了,这里的文件只要不是白名单就干你
解决方法写到比如"c:\Program Files\360\360se3\360SE.exe" 这样的目录
你再修改特征,再加壳也没用,只要有上面2点中的1点,就杀你,因为你没有出现在白名单md5
菜鸟认真看下面:
把远控捆绑到"c:\Program Files\Thunder Network\Thunder\Program\Thunder.exe" 设置为只读属性(也可以是优化大师,uusee网络电视或者360本身或者flash)
运行调试成功后,设置只读属性防止软件升级要注意图标别换,最好用微软的捆绑工具
,写个批处理文件覆盖你的c:\Program Files\Thunder Network\Thunder\Program\Thunder.exe到客户c:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
| |
※ ※ ※ 本文纯属【剑神无边】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2010-5-14 14:46 |
|
免费午餐
注册用户
积分 153
发帖 153
注册 2010-5-9
|
#2
云安全是很麻烦
它不管什么是病毒,只考虑白名单里什么不是病毒
还是要吧样本做到200m这样云服务器收不了
具体看传奇,或者魔兽世界的客户端安装
他们为什么硬盘占用1.5g,但是内存占用不超过10m
为什么下载器只有10k,文件却有1.5g的文件
吧你木马模拟成魔兽就过了
需要熟悉编程
| |
※ ※ ※ 本文纯属【免费午餐】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-5-14 14:50 |
|
tpdjp
注册用户
积分 56
发帖 56
注册 2010-5-11
|
#3
| Quote: | Originally posted by 免费午餐 at 2010-5-14 14:50:
云安全是很麻烦
它不管什么是病毒,只考虑白名单里什么不是病毒
还是要吧样本做到200m这样云服务器收不了
具体看传奇,或者魔兽世界的客户端安装
他们为什么硬盘占用1.5g,但是内存占用不超过10m
为什么下载器 ... |
|
另外运行1次修改1次MD5也是非常必要的
exe文件里面有很多字节都可以修改
云服务器也可以收的了,360安全卫士已经会分析文件结构,挑数据上传了,这是前两个星期刚发现的,其中更深一步的原理没有弄清,但是只是一般的在文件末尾添加垃圾数据已经不行了,可能有人说的添加超大的资源文件的方法可以,具体我也没有测试过。。。。。。还有断开360的网络连接也可以过云,这个方法我在凌云的小马上面发现已经利用断开网络连接从而过掉360安全卫士的云查杀和提示。。。。。。
| |
※ ※ ※ 本文纯属【tpdjp】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-5-14 14:51 |
|
免费午餐
注册用户
积分 153
发帖 153
注册 2010-5-9
|
#4
分析文件结构的话,用aspr压缩下结构都差不多
放心,360永远没有自动脱aspr自定义加壳的能力
它应该是取资源区段的MD5白名单特征
这样玩它很容易,把优化大师的资源区段复制到你pe文件里
目前还不明白新MD5是不是取在资源区段,
木马样本2g
运行1次1次变形,再狠1点,5秒1次变形
这样数据就是24*60*25*1g*1000,这样最少是800g个1g,1天1用户的处理量
最少2g个2g数据,就是360动用全国税收买服务器,,中国网通的所有带宽全给他
也不够它上传
它取资源,或者取50处MD5倒可以上传
取50处MD5照样没法过白名单
我没考虑清楚
是不是木马必须上传才能分析
360安装了瑞星卡巴,金山=
它把上传的文件自动扫描
没有样本谁也不能分析
如果样本过200m,没有写启动就不上传
如果写启动,就上传50个md5,如果用的人多,就通过,人少提示可疑
没用,超过200m的启动文件直接报告木马了,正常文件不回200m还写启动
如果不写注册表启动,不放启动目录,木马存放到优化大师目录下,应该不会查,问题是怎么启动
高人替换系统dll启动,菜鸟捆绑优化大师启动
中国才出国几个葛军和new4啊。。。
| |
※ ※ ※ 本文纯属【免费午餐】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-5-14 14:52 |
|
剑神无边
中级用户
积分 265
发帖 273
注册 2010-5-1
|
#5
微点是行为分析,这些方法对微点来说没用.... O(∩_∩)O
| |
※ ※ ※ 本文纯属【剑神无边】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-5-14 14:53 |
|
黑白罗刹
注册用户
积分 73
发帖 73
注册 2010-5-10
来自 火星
|
#6
欺骗其他杀毒软件没有问题,过微点,难度很大,有待进一步研究
| |
※ ※ ※ 本文纯属【黑白罗刹】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-5-14 15:15 |
|
HomeSGerMine
银牌会员
■■微点护卫队队长■■
积分 4888
发帖 4785
注册 2009-3-8
来自 哪里有微点,哪里就有我
|
#7
云查杀确实提高了新病毒反应速度,但滞后杀毒的根本缺陷没有改变,总是会有一个以上的人中病毒的
| |
※ ※ ※ 本文纯属【HomeSGerMine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
东方之荣耀, 中华之微点!---Microp●int
|
|
|
|
2010-5-16 08:28 |
|
bbcer
新手上路
积分 6
发帖 6
注册 2009-10-9
|
#8
激活号码为:46585(请勿修改)
| |
※ ※ ※ 本文纯属【bbcer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-5-16 14:08 |
|
guolugui
新手上路
积分 9
发帖 9
注册 2009-10-14
|
#9
| Quote: | Originally posted by 黑白罗刹 at 2010-5-14 15:15:
欺骗其他杀毒软件没有问题,过微点,难度很大,有待进一步研究 |
|
微点也不是不可破,还是那句话,把所有安装过程分解开来,微点也傻。
| |
※ ※ ※ 本文纯属【guolugui】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-5-17 12:23 |
|
|
