|
20楼#
发布于:2007-02-27 06:46
谁给逆向一下,我看界面程序代码有吐血~
|
|
|
|
21楼#
发布于:2007-02-27 07:30
引用第20楼killvxk于2007-02-27 06:46发表的“”: 这都吐血? C+SDK啊~ 估计你逆向时不会吐血,逆出来后你得吐血了,而且是狂吐…… |
|
|
22楼#
发布于:2007-02-27 09:09
所以还是开原吧,嘿嘿......
 |
|
|
|
23楼#
发布于:2007-02-27 09:13
还有对于注册表的监控,最好也放到文件系统的控制去做,那样比较好,当然处理上还是比较麻烦的......
 |
|
|
|
24楼#
发布于:2007-02-27 12:12
好像在SSM里加个 SOFTWARE\Microsoft\Windows\CurrentVersion\policies 规则就提示了,好像B 的还是老方法的用了RegRestoreKey->SOFTWARE\Microsoft\Windows\CurrentVersion\policies
|
|
|
25楼#
发布于:2007-02-27 16:43
 原来如此 |
|
|
|
26楼#
发布于:2007-02-27 16:58
引用第25楼xikug于2007-02-27 16:43发表的“”: 就是RestoreKey被监控的上一级子键…… SSM监控的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run,我们 RestoreKey时就处理 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies 呵呵~ 其实比较好的方法是在目标机器上适时处理,Dump主键修改后在存回去,haha~ |
|
|
27楼#
发布于:2007-02-27 17:06
引用第26楼xyzreg于2007-02-27 16:58发表的“”: 我没明白为什么要循环20次?  |
|
|
|
28楼#
发布于:2007-02-27 17:15
引用第27楼xikug于2007-02-27 17:06发表的“”: 仅恢复1次的话可能失败,所以就多点次数,确保成功~  |
|
|
29楼#
发布于:2007-02-28 09:31
方法 A / B 有何区别? 特别是特殊方法, 好像没啥差别?
|
|
|
30楼#
发布于:2007-03-02 22:39
忽悠人啊~
吐血~ normal method A: RegOpenKeyExA RegSetValueExA RegCloseKey special method A: Dump hiv from resource to: c:\\xyz.hiv raise privilege to SeRestorePrivilege RegOpenKeyA RegRestoreKeyA CloseHandle delete c:\\xyz.hiv normal method B: RegCreateKeyA RegSetValueExA RegCloseKey special method B: Dump hiv from resource to: c:\\xyz2.hiv raise privilege to SeRestorePrivilege RegOpenKeyA RegRestoreKeyA CloseHandle delete c:\\xyz2.hiv 这里略去 special 方法失败后,重复强奸注册表 20 次。 怕怕 |
|
|
31楼#
发布于:2007-03-02 23:57
引用第30楼codez于2007-03-02 22:39发表的“”: 呵呵,特殊方法A、B是有区别的,仔细看看就知道了。B是从目标键的上一层键开始恢复,这样就能绕过A不能绕过的某些注册表监控程序。 另外重复20次也是有原因的,因为一般情况下RegRestoreKey调用一次会失败,所以循环一下确保RestoreKey成功。 一点都没忽悠人。我这演示程序里每一步都是有原因的,你没体会到而已~ |
|
|
32楼#
发布于:2007-03-03 00:03
xyzreg是否还要有0.3的? |
|
|
33楼#
发布于:2007-03-03 02:04
引用第32楼firabc于2007-03-03 00:03发表的“”: 中级版以及高级版的演示不外放了,免得被木马流氓们广泛采用,最终还是网民们受害~ |
|
|
34楼#
发布于:2007-03-03 10:01
引用第33楼xyzreg于2007-03-03 02:04发表的“”: 把中,高级版悄悄给我研究一下。。。 |
|
|
|
35楼#
发布于:2007-03-03 12:03
 这种方法真的安全吗?中、高级版给个binary吧。呵呵 |
|
|
36楼#
发布于:2007-03-03 19:53
引用第31楼xyzreg于2007-03-02 23:57发表的“”: 的确没仔细分析,本来猜测会有 hiv 操作的,结果老大的太直接了,就用 hiv file,是不是太偷懒了~哈 支持 doskey~,给个 binary 吧。 私下给一个也行啊,学习一下。 |
|
|
37楼#
发布于:2007-03-05 13:03
我来一个不懒的:
先在HKCU下创建一个key(随便名称位置),然后用CopyKey把整个HKLM复制到这个key下,然后再这个key下的相关地方修改或添加你的东西,然后SaveKey到Hive文件,然后Restore到HKLM~~哈哈~~ 相应的可以是其他的KEY,复制后修改,再填入~ 比如把整个Windows键复制后修改,保存,重载~哈哈~ |
|
|
|
38楼#
发布于:2007-03-05 13:03
CopyKey代码可以在MSDN上找到,我就不说了~
都很简单~ |
|
|
|
39楼#
发布于:2007-03-06 23:17
老v,你太坏了!
|
|