|
|
特别说明:此文可能很多地方存在一些技术上的遗漏和不足,有哪里说的不对的地方请各位朋友指点,互相学习交流,没有任何企图和目的。很多地方我讲的不是很专业,只代表个人的一点看法,希望各位牛人不要笑话我,谢谢您的合作给大家说了说思路,不要跟我要测试样本,感兴趣的朋友可以自己按照文章中的思路去揣摩研究,文章中有一个技术点点我省略了,但是对整体思路印象一点也不影响,我不是什么黑客,不懂黑客知识,不与任何黑客组织有联系,谢绝该方面打听。
近四个月来,在论坛上没有看到有人发表“过微点主动防御的文章,四个月前,我发表的利用vbs过微点的方法,不知道什么时候也被微点修补了,而且这四个月来,微点主动防御变化也很大,防护规则更严谨了,而且误报率也大大提升了
,原来的微点,误报率很让人头疼,而现在,微点的误报率很低,即使有误报,并且微点错误的将你文件删除后,也会自动恢复过来。
前不久点饭网的技术总监绅博论坛的站长这两位我的好朋友,与我联系,希望和我共同研究一番微点现在的查杀机制,找一找微点的缺陷,再次突破微点。俗话说得好,道高一尺,魔高一丈,在黑与白的较量中,寻求技术的突破。今天我就来挑战自己,绕过微点的主动防御 。
这次我们使用灰鸽子来突破微点主动防御,但是有几点要注意 ,现在主流的木马都是通过插入ie进程,或者是svchost.exe这个进程进行穿透防火墙,而且现在主流木马都是通过hook自身,实现隐藏进程,也就是说,你使用任务管理器。 查看木马的进程是看不到的,除非使用专业的病毒防护软件进行查看才能看得到有木马进程,“冰刃”是一款内核级系统安全辅助查找器,一但我们中了类似的木马病毒后,我们使用冰刃来查看自己计算机上的进程,就会发现,有一个或者多个进程显示为红色,这里要注意,显示为红色的进程就是极有可能是木马病毒的进程,冰刃里面显示为红色的进程名称就是被hook的进程,也就是隐藏进程。
微点查杀木马的几个绝招:
1.正常用户使用的程序,绝对不会hook自身,实现隐藏进程,而隐藏进程的必然是木马病毒。
2.正常用户使用的程序,绝对不会插入其它进程,尤其是ie浏览器和svchost.exe,这两个进程,一旦插入进程进行访问网络的程序必然是木马病毒。
要现说一说主流木马运过程:
1.双击木马运行。
2.木马会以隐藏窗口形式进行运行。
3.向C盘下的,windows 或system或system32.等等,系统关键的几个文件夹释放木马的文件。
4.注册服务,修改服务,或者修改注册表添加启动项,好让程序从新启动后能够再次运行。
5.插入ie浏览器进程和hook自身隐藏进程,外连网络。
微点查杀木马就是依靠以上的几点规则来判断,你运行的程序是不是木马,然后进行拦截。
只要木马不具备这几点特征,自然微点也就不会拦截。我的思路就是构造正常用户的操作,这样微点就不会报警木马。
实现思路:
1.不隐藏进程
2.不插入进程外连网络
3,不修改注册表
4.不创建服务来实现启动
下面我们来开始构造用户正常的操作:
1.打开任务管理器。
2.结束alg.exe这个进程。
3.打开system32这个目录将alg.exe删除。
4.打开system32这个目录将系统自带的alg备份文件删除。(防止系统自修复alg.exe)
4.将木马文件改名alg.exe并且复制到system32。
5.然后运行alg.exe
6.就这么简单简单突破微点。
这里要注意两点。
1.如果通过dos命令结束alg.exe,接着马上就删除文件的话,微点会马上报警可疑程序,并且会自动上传样本。
2.配置灰鸽子时候需要修改一些关键点,
(1)不注册服务
(2)不修改注册表
(3)不插入进程
(4)不隐藏进程
(5)木马的释放路径是绝对路径,路径必须是C:\windows\system32\alg.exe这个进程。
为什么要替换alg这个服务呢,原因是alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个进程在国产的很多防火墙里面默认规则是运行通过的,也就是说直接实现穿墙,能做到防
火墙不拦截。而且不影响系统的正常运行。
最后使用vbs命令构造一个正常的用户操作,将进程结束...删除文件...复制木马...运行木马.....
使用winrar自解压方式,将VBS和木马文件进行**,木马文件释放到d盘,然后使用vbs命令将木马复制到system32目录下。如果释放到c盘,在复制到system32下,微点可能会报警。
总结技术要点:
这个方法主要是构造一个用户正常的操作,但是要注意,使用VBS命令,进行每一步的操作要进行三秒钟的延迟,这样等于把这一系列操作进行了分解步骤,让命令运行后,停一停,在执行下一步的操作。然后从d盘把灰鸽子木马复制到
system32下在用vbs命令运行即可。这样系统在从新启动,后原来的木马文件会被当作是系统文件,跟着系统直接启动起来。木马本身不会启动,等于是替换了一个服务将木马启动。心心点点的说了许多,就此停笔睡觉。
转自绅博论坛 出自天鹰姐姐之手
请大家多多发表意见 |
|
IP卡
发表于 2008-8-6 16:48:24
提升卡
置顶卡
变色卡
千斤顶
显身卡
楼主
发表于 2008-9-11 16:00:41