文章作者：xyzreg [E.S.T] （www.xyzreg.net）
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

  目前主动防御的概念已经深入人心，许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能，防止自启动项以及IE相关键值被修改，对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击，我们仍然可以绕过注册表监控修改注册表。

  绕过注册表监控的方法不止一种，应根据不同情况灵活运用。 除了本演示程序使用的操作HIVE文件修改注册表的方法，我们还可以写驱动解除注册表监控程序的钩子，或者直接调用CmXXXXX等未导出函数来操作注册表等。

  测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件，我写的这个演示程序均可以突破他们成功修改注册表。

  本程序仅作科普以及安全警示之用，旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。

2月27日更新：

  程序已升级，可以突破以前版本不能突破的 SSM（System Safety Monitor ）最新版、卡巴6最新版、ZoneAlarm Pro 7、EQSecure、ProSecurity等。 就目前来看，此次增加的特殊方法修改注册表B可以突破除了犀牛（Safe'n'Sec）之外所有的实时拦截类注册表监控程序。

  当然，仍有方法突破犀牛改注册表的，比如使用非常规进Ring0法进Ring0然后恢复他的SSDT hook。至于360safe之类的注册表修改通知式的非实时注册表监控也有办法绕过。有两大方法，清除Notify回调函数和rootkit技术隐藏注册表。

bypass.jpg (48 KB)

2007-2-26 05:29

程序下载地址：http://www.xyzreg.net/BypassRegMon.rar

在我的vista下无反映，与系统不兼容？

在vista下装载驱动已经很难了,一个原因是用户权限不够,另一个是没有数字认证的驱动vista拒绝装载,所以这个程序在你的VISTA下应该不不兼容.听说VISTA有伪造数字认证的漏洞,有时间去看看.

工具是好工具,不知LZ能不能把突破注册表监控的具体技术细节写出来?这样大家能更好学习..也不会让某些人觉得在炫耀了...

呵呵，楼主这个可是好东西啊，修改注册表里的启动项你的杀毒软件没有反应，意味着这是多么可怕 .....赶紧IDA一下.....

引用:

引用第3楼cncxz于2007-02-26 13:07发表的:
工具是好工具,不知LZ能不能把突破注册表监控的具体技术细节写出来?这样大家能更好学习..也不会让某些人觉得在炫耀了...

程序没加强壳没加花，很好逆向分析，IDA一下，这个程序的思路就出来~

引用:

引用第1楼peter_yu于2007-02-26 09:32发表的:
在我的vista下无反映，与系统不兼容？

没在Vista下测试

卡巴

引用:

引用第13楼vxk于2007-02-27 03:34发表的:
haha~

嘿嘿，可以突破SSM最新版了~ 人民需要科普，haha~  不过那天群里提的高级方法就先不科普了，呵呵~

引用:

引用第12楼安全于2007-02-27 00:57发表的:
卡巴

.......

请问你的卡巴6具体版本号是多少？ 我在KIS6.0.0.300 以及 KIS 6.0.2.614均可以绕过~

你用我刚更新过的程序再试试看。

那我顺便请教一个问题.

如何突破WFP或饶过,和标题无管.

KAV 6.0.307通过~~  顺便请教一下LZ 如何具体实现清除Notify回调函数和rootkit技术隐藏注册表~~

谢谢~

呵呵```厉害```

有机会下来测试下。


真不知道这是个好消息还是坏消息！

引用:

引用第4楼gyzy于2007-02-26 13:08发表的:
呵呵，楼主这个可是好东西啊，修改注册表里的启动项你的杀毒软件没有反应，意味着这是多么可怕 .....赶紧IDA一下.....

[s:39] 这个丢源代码是最好不过了，

gyzy即使要逆向，也要花太多的时间，是吧？

曾经试过用修改HIVE的办法可以过SSM，不过我用的是SSM免费版，不知道正式版的有没有对此限制

这跟reg load your.hiv好像没什么区别吧？

微软只要在OS上加个数字标准认证
可以屏蔽掉很多非法软件
更别说能运行得起来了
看看VISTA吧有空

厉害!
楼主如果能把源码发布出来就更好了!

还是希望楼主把源代码发表一下。

我下载完毕，去操作一下。我的kav6.0提示
2007-2-27 21:55:21  进程 C:\Documents and Settings\NEW\Local Settings\Temp\Rar$EX00.522\BypassRegMon2.exe (PID: 2724): 试图 执行可疑操作 被拒绝.

引用:

引用第19楼云飞天于2007-02-27 22:17发表的:
我下载完毕，去操作一下。我的kav6.0提示
2007-2-27 21:55:21   进程 C:Documents and SettingsNEWLocal SettingsTempRar$EX00.522BypassRegMon2.exe (PID: 2724): 试图 执行可疑操作 被拒绝.

你选哪个按扭时被拒绝的？试试 特殊方法B。如果还有反应请告知你的卡巴版本号。谢谢。

引用:

引用第9楼xyzreg于2007-02-27 07:10发表的:

请问你的卡巴6具体版本号是多少？ 我在KIS6.0.0.300 以及 KIS 6.0.2.614均可以绕过~

你用我刚更新过的程序再试试看。

是KAV6.0.2.671




这是ssm免费版的报告

注册表:\\HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\      添加                      2007-2-27 PM 11:13:36

注册表:\\HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\      添加      特殊方法      test.exe           2007-2-27 PM 11:13:36


添加被阻止

请教：
用RegSaveKey产生一个HIVE文件，
如何修改操作这个HIVE文件，
才可以使RegRestoreKey返回成功呢？？？

引用:

引用第21楼安全于2007-02-27 23:50发表的:
是KAV6.0.2.671
.......

可以突破SSM最新版。你说的SSM免费版不是实时拦截型监控，这类注册表修改通知式的非实时注册表监控也有办法绕过。有两大方法，清除Notify回调函数和rootkit技术隐藏注册表。

引用:

引用第22楼月无光于2007-02-28 00:01发表的:
请教：
用RegSaveKey产生一个HIVE文件，
如何修改操作这个HIVE文件，
才可以使RegRestoreKey返回成功呢？？？

可以直接RegRestoreKey~