注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

★ ★ ★ 卡多 - K.D

DELPHI

 
 
 

日志

 
 

突破360安全卫士启动项提示  

2011-01-09 10:47:56|  分类: ‖ 杂文 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
突破360安全卫士限制放木马    360安全卫士现在几乎成了装机必备的工具,360安全卫士其实本来只是一款清除流氓软件的工具,可是由于集成了实时防护和简单的木马扫描功能,因此被许多没有正版杀毒软件的用户当成了救命的稻草。

    其实360安全卫士的反木马功能是非常弱的,根本无法和真正的杀毒软件相比。不过许多黑菜们在入侵的过程中,却常常碰到因为目标主机上安装了360安全卫士,因此木马被查杀。往往都是可免杀过杀毒软件,但是却不能过360安全卫士——看来,免杀过360安全卫士的方法,还是有必要为大家介绍一下的。

    文件名伪装,突破360“慧眼”

    首先,来看看360安全卫士扫描流氓软件与木马的原理。这里作一个小测试,我们将系统目录“C:\WINDOWS”下的记事本程序“notepad.exe”修改文件名,将其改为“svchost.exe”。然后用360安全卫士进行扫描,可以看到这个本来是正常的记事本程序文件,仅仅是修改了一下文件名,就变成了一个“伪Honey木马下载器”。

    由这个实验可以推断,360安全卫士在对文件进行扫描时,是通过文件名及文件系统描述进行差别的。正常的文件修改文件名后,会变成木马;同样的,木马修改文件名后,也可以变成正常文件,被360安全卫士视而不见。如何才能对木马程序生成的木马服务端进行伪装呢?以“上兴远程控制v4.7”为例进行介绍:

     打开上兴远程控制木马生成对话框,在“安装名称”中,将木马释放后的安装文件名设置为“360tray.exe”,将“安装路径”设置为“Windows目录”;在下方的“服务名称”中设置木马服务名为“360tray”,  “服务显示名”也设置为“360tray”,最后“描述信息”设置为“360安全卫士实时保护模块”。其它设置项可根据情况设置,点击“生成”按钮,即可生成一个上兴远程控制木马服务端程序。

    现在运行刚才生成的木马服务端,将会在Windows目录下释放名为“360tray.exe”的文件,并安装为伪装的“360tray”服务随系统启动运行。然而在木马运行安装的过程中,360安全卫士不会弹出任何提示信息,并且360安全卫士也扫描系统时,也根本扫描不到上兴木马。

    提示:

    对于一些无法设置服务端释放文件的木马程序,如PCShare之类的,可以通过“Restorator v2006”等资源修改工具,将木马程序中的服务端导出,免杀后修改文件名字,再重新导回木马生成程序中。用正常方法即可生成对360安全卫士免杀的木马服务端程序了。

    实时保护,自身难保

    上面的方法虽然实现了木马对360安全卫士的免杀,但是对某些木马程序来说,可能无法突破360安全卫士的实时保护功能,因此再介绍一个对所有木马都100%灵验的过360安全卫士的方法。

    首先,在本机上开启360安全卫士的主动防护功能。然后运行“上兴远程控制v4.7”,使用默认的设置,生成一个木马服务端程序。运行木马服务端程序,可以看到木马在添加启动服务项目时,被360安全卫士拦截到了。虽然360安全卫士的拦截反应非常慢,但也还是对木马报警了,如何突破360安全卫士的主动实时保护功能呢?下面就以上兴远程控制417为例,讲解一种简单有效的方法。

    步骤一:定位360安全卫士的软肋

    同样的,先来作一个小测试,看看360安全卫士的实时监控功能是由什么所控制的。开启360安全卫士的实时保护功能,点击。开始”→“运行”,输入“regedit”命令,回车后执行,打开注册表编辑器。

    在任意一个注册表项目下,点击右键,新建一个键值,可以看到360安全卫士很快弹出了拦截提示,询问是否允许添加注册表键值。选择“阻止此动作”,则新添加的注册表将会被清除,无法添加成功。

    现在,我们再展开注册表编辑器中的[HKEY_LOCAL_MACHINE\SOFTWARE\360safe\safemon]项目,在将该项目下可看到有几个注册表键,将对应的键值全部修改为“0”。再尝试刚才的新建注册表键
  评论这张
 
阅读(5523)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017