[讨论]映像劫持过瑞星
议题作者:无壳螃蟹信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
不久前在论坛里看到一位会员在讨论,无法结束瑞星进程的解决方法。后来我无意中想到了映像劫持,微软送给我们的利器。于是开始动手小试,对瑞星下手。
首先打开注册表编辑器,在[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] 下建立新项,命名为RavMon.exe,然后在该项内新建字符串值,命名为Debugger,该值内所填的路径,将是替代瑞星监控程序运行的程序。
[attach]10484[/attach]
替换后开机运行的将是扫雷程序,可以发现右小角的小绿伞已经消失了。
方法:可以自己编程设计个小程序,运行时无进程,无窗口放到隐蔽的地方,再调用映像劫持去替换瑞星程序。这样一来我们的目的也就达到了。
第一次写文章,大家有什么意见欢迎提出来,谢谢。 呵呵
现在的好多毒都搞镜象劫持
结果
修电脑都要麻烦死
汗死....
呵呵 [s:266] [s:266]
这个方法还是实用。 我感觉这样做太显眼了. 方法可取,但是实用性不强
容易被发现 [quote]引用第1楼xieshang于2007-09-09 09:32发表的 :
呵呵
现在的好多毒都搞镜象劫持
结果
修电脑都要麻烦死
汗死....
.......[/quote]
修改一下注册表该项的权限,即可防止病毒劫持。 瑞星好像有注册表监控的嘛,改注册表的时候它会有提示的,这是我的想法哈,还没有去试过, 不过应该是要提示的, 使用users组权限用户上网,限制users权限访问注册表。或者直接阻止当前用户访问注册表 设置下那注册表的权限..
或者利用网上的一些例如autoruns之类的工具,都能干掉这种方法的.. [s:266] [quote]引用第6楼yzy888于2007-09-10 08:33发表的 :
瑞星好像有注册表监控的嘛,改注册表的时候它会有提示的,这是我的想法哈,还没有去试过, 不过应该是要提示的,[/quote]
瑞星的注册表监控不监控这里的。我就是开着瑞星改的。至于08版的瑞星还没尝试。我等正式版出来再去试,包括卡巴。
而且还有了个更好的思路,以后再发出来。 [s:264] [s:264] [s:264] 呵呵`;变通一下,利用起来做服务器后门不错! [s:267] 想法不错,方法陈旧了些,过不了HIPS 08的可以监视到这个,我有个想法,劫持右键菜单,一般都是右键杀毒的,我就是 [s:263] ,想想右键点xx杀毒就出来杀毒软件,至于如何劫持慢慢研究吧,方法是委琐了点 [s:270] 瑞星应该提示,你是乱搞的! 可以 用来 过NOD32啊
页:
[1]