【3.A.S.T】网络安全爱好者's Archiver

黑客学习

冷酷鲨鱼 发表于 2010-4-18 19:19

[转载]木马启动过实时防护分析

此木马为自己做的木马,首先当然主程序不被查杀,那么要怎么自启动呢?

1.篡改系统文件,瑞星未提示任何提示。360木马云扫描提示系统文件被篡改,文件被自动改回。随便写个有窗体的程序,再改名覆盖系统文件,并运行,再扫描,看是否运行中能阻止删除,果然删除,可程序依旧运行。换种思路,因为程序还是依旧运行,所以能够编程即时再改回去,这里修改ctfmon.exe,并运行,360扫描还是文件被篡改,并把文件修改回,等了2秒,我的程序又修改回,360扫描时提示为了彻底清除木马,请重启一下,我重启一下,我点重启,靠,贼狠,重启后,文件又修回去了。
2.写启动注册表,网上的写注册表方式全部都使用遍了,全都被360阻止。
3.换种简单的方式,随便把一个程序放到
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
??没提示?晕死。。
用360扫描,发现未知启动项,建议清除。恩,换种思路,我把木马放到任意目录,然后随机命名一个快捷方式到
C:\Documents and Settings\All Users\「开始」菜单\程序\启动,并且过2秒再写一次快捷方式,360扫描有,我又写,重启一下,恩,木马启动成功!
不过这种办法不好,不隐蔽.

我最后想试图的感染除系统目录外的全部EXE,启动成功。

冷酷鲨鱼 发表于 2010-4-21 07:05

{:Yem92:Y}汗

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.