|
阅读:5869回复:20
[严重模仿]突破主动防御之注册表监控篇--SteelKernelGroup
原帖位置:http://forum.eviloctal.com/read-htm-tid-27322.html
目前主动防御的概念已经深入人心,许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能,防止自启动项以及IE相关键值被修改,对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击,我们仍然可以绕过注册表监控修改注册表。 绕过注册表监控的方法不止一种,应根据不同情况灵活运用。 除了本演示程序使用的操作HIVE文件修改注册表的方法,我们还可以写驱动解除注册表监控程序的钩子,或者直接调用CmXXXXX等未导出函数来操作注册表等。 测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件,我写的这个演示程序均可以突破他们成功修改注册表。 本程序仅作科普以及安全警示之用,旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。 上次xyzreg来南宁,没去看他,现在按照他的原理写的这个玩意···深表歉意,哈哈 感谢baiyuanfan、Vxk等人的大力支持和无私奉献! |
|
|
驱动小牛
|
沙发#
发布于:2007-08-01 18:09
RegRestoreKey???
|
|
板凳#
发布于:2007-08-02 13:14
本程序仅作科普以及安全警示之用,旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。
请问现在有什么更好的安全产品,能监控到对HIVE文件操作对应的注册表操作????? |
|
|
|
地板#
发布于:2007-08-03 22:58
K8 7.0 已经开始监控HIVE文件操作了!
|
|
|
地下室#
发布于:2007-08-06 20:32
晕,还不把源代码放出来。
|
|
|
|
5楼#
发布于:2007-08-06 23:21
IDA真牛,呵呵,感觉和看C代码差不多。
|
|
|
|
6楼#
发布于:2007-08-15 10:44
...n个了
 |
|
|
|
7楼#
发布于:2007-08-15 11:34
不能过卡巴7。0
|
|
|
8楼#
发布于:2007-08-17 18:56
引用第7楼cppdev于2007-08-15 11:34发表的 : 知道思路,稍微一变就可以过了~ 都自行研究吧~~ |
|
|
|
9楼#
发布于:2007-08-17 19:13
 ,炫耀贴,没什么意义! |
|
|
|
驱动小牛
|
10楼#
发布于:2007-08-18 10:10
下载想看看,没想到加了壳,还得脱壳啊...
|
|
11楼#
发布于:2007-08-18 14:06
bin=src,SK没有必要炫耀什么~
只是说明我们也掌握了,xxx技术 |
|
|
|
12楼#
发布于:2007-08-18 18:32
导入注册表.reg文件说不定是个突破方法。反正kaba没有提示。嘿嘿
|
|
|
驱动小牛
|
13楼#
发布于:2007-08-18 22:14
导入.reg是有提示的.
|
|
14楼#
发布于:2007-08-22 15:20
还加壳 不厚道
|
|
|
15楼#
发布于:2007-08-23 02:31
……
貌似搞得挺有趣的嘛 |
|
|
16楼#
发布于:2007-08-23 20:15
引用第15楼xyzreg于2007-08-23 02:31发表的 :  xyzreg最早发现这个事,我们只是ida了一下,然后派生了~ 我还没有见过xyzreg本人呢 |
|
|
|
17楼#
发布于:2007-11-19 23:40
嘿..最低层是什么呢?BIOS吧..
|
|
|
18楼#
发布于:2007-12-19 05:47
这个K6和ZA确实不报警,但是好像会破坏数据结构,我一操作网络自动断开了,再连就是一连就断开,重启后MS说"你的系统从一个严重错误中回复过来"
 |
|
|
|
19楼#
发布于:2007-12-19 16:16
 |
|
|
上一页
下一页