[讨论]映像劫持过瑞星
[讨论]映像劫持过瑞星议题作者:无壳螃蟹
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])
不久前在论坛里看到一位会员在讨论,无法结束瑞星进程的解决方法。后来我无意中想到了映像劫持,微软送给我们的利器。于是开始动手小试,对瑞星下手。
首先打开注册表编辑器,在[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] 下建立新项,命名为RavMon.exe,然后在该项内新建字符串值,命名为Debugger,该值内所填的路径,将是替代瑞星监控程序运行的程序。
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0709/58_92027_8fb2ee21ff47f4e.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img][url=http://forum.eviloctal.com/attachment.php?aid=10484¬humb=yes]winmine.jpg[/url] (53 KB)
修改后如图
2007-9-8 01:05
替换后开机运行的将是扫雷程序,可以发现右小角的小绿伞已经消失了。
方法:可以自己编程设计个小程序,运行时无进程,无窗口放到隐蔽的地方,再调用映像劫持去替换瑞星程序。这样一来我们的目的也就达到了。
第一次写文章,大家有什么意见欢迎提出来,谢谢。
[url=http://wpa.qq.com/msgrd?V=1&Uin=31015021&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子4 精华[url=http://forum.eviloctal.com/digest.php?authorid=92027]0[/url] 积分16 阅读权限40 性别男 在线时间14 小时 注册时间2007-3-16 最后登录2008-5-24 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=92027]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-6915.html]xieshang[/url] [img]http://forum.eviloctal.com/images/avatars/pw/1.gif[/img]
晶莹剔透§烈日灼然 呵呵
现在的好多毒都搞镜象劫持
结果
修电脑都要麻烦死
汗死....
呵呵
[url=http://wpa.qq.com/msgrd?V=1&Uin=84940782&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子9 精华[url=http://forum.eviloctal.com/digest.php?authorid=6915]0[/url] 积分31 阅读权限40 性别男 在线时间8 小时 注册时间2005-7-4 最后登录2008-7-4 [url=http://www.xieshang.ful.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=6915]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-75831.html]炽天翼[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 [img]http://forum.eviloctal.com/images/smilies/yangcong/55.gif[/img] [img]http://forum.eviloctal.com/images/smilies/yangcong/55.gif[/img]
这个方法还是实用。
帖子3 精华[url=http://forum.eviloctal.com/digest.php?authorid=75831]0[/url] 积分13 阅读权限40 在线时间3 小时 注册时间2007-1-29 最后登录2007-9-17 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=75831]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-41568.html]wrsky[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 我感觉这样做太显眼了. [img]http://www.wrsky.com/image/ut/logo.gif[/img]
帖子7 精华[url=http://forum.eviloctal.com/digest.php?authorid=41568]0[/url] 积分22 阅读权限40 性别男 在线时间20 小时 注册时间2006-3-28 最后登录2008-7-14 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=41568]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-63283.html]roclee[/url] [img]http://forum.eviloctal.com/images/avatars/pw/xhacker3.gif[/img]
晶莹剔透§烈日灼然 方法可取,但是实用性不强
容易被发现
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=63283]0[/url] 积分9 阅读权限40 性别男 在线时间4 小时 注册时间2006-9-6 最后登录2007-11-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=63283]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-92027.html]无壳螃蟹[/url] [img]http://forum.eviloctal.com/images/avatars/pw/male3.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第1楼xieshang于2007-09-09 09:32发表的 :
呵呵
现在的好多毒都搞镜象劫持
结果
修电脑都要麻烦死
汗死....
.......
修改一下注册表该项的权限,即可防止病毒劫持。
[url=http://wpa.qq.com/msgrd?V=1&Uin=31015021&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子4 精华[url=http://forum.eviloctal.com/digest.php?authorid=92027]0[/url] 积分16 阅读权限40 性别男 在线时间14 小时 注册时间2007-3-16 最后登录2008-5-24 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=92027]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-69392.html]yzy888[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 瑞星好像有注册表监控的嘛,改注册表的时候它会有提示的,这是我的想法哈,还没有去试过, 不过应该是要提示的,
帖子21 精华[url=http://forum.eviloctal.com/digest.php?authorid=69392]0[/url] 积分71 阅读权限40 在线时间44 小时 注册时间2007-1-10 最后登录2008-7-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=69392]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-16052.html]remax[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 使用users组权限用户上网,限制users权限访问注册表。或者直接阻止当前用户访问注册表20字节够写什么?
[url=http://wpa.qq.com/msgrd?V=1&Uin=37424654&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子325 精华[url=http://forum.eviloctal.com/digest.php?authorid=16052]2[/url] 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 [url=http://www.remaxz.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=16052]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-81180.html]炫o逍遥o[/url] [img]http://forum.eviloctal.com/images/avatars/pw/male1.gif[/img]
晶莹剔透§烈日灼然 设置下那注册表的权限..
或者利用网上的一些例如autoruns之类的工具,都能干掉这种方法的.. [img]http://forum.eviloctal.com/images/smilies/yangcong/55.gif[/img] 学习ing
帖子12 精华[url=http://forum.eviloctal.com/digest.php?authorid=81180]0[/url] 积分99 阅读权限40 性别男 来自四川 在线时间6 小时 注册时间2007-2-14 最后登录2008-7-10 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=81180]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-92027.html]无壳螃蟹[/url] [img]http://forum.eviloctal.com/images/avatars/pw/male3.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第6楼yzy888于2007-09-10 08:33发表的 :
瑞星好像有注册表监控的嘛,改注册表的时候它会有提示的,这是我的想法哈,还没有去试过, 不过应该是要提示的,
瑞星的注册表监控不监控这里的。我就是开着瑞星改的。至于08版的瑞星还没尝试。我等正式版出来再去试,包括卡巴。
而且还有了个更好的思路,以后再发出来。
[url=http://wpa.qq.com/msgrd?V=1&Uin=31015021&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子4 精华[url=http://forum.eviloctal.com/digest.php?authorid=92027]0[/url] 积分16 阅读权限40 性别男 在线时间14 小时 注册时间2007-3-16 最后登录2008-5-24 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=92027]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-118275.html]knlve[/url] [img]http://forum.eviloctal.com/customavatars/118275.jpg[/img]
晶莹剔透§烈日灼然 [img]http://forum.eviloctal.com/images/smilies/yangcong/58.gif[/img] [img]http://forum.eviloctal.com/images/smilies/yangcong/58.gif[/img] 呵呵`;变通一下,利用起来做服务器后门不错![img]http://forum.eviloctal.com/images/smilies/yangcong/58.gif[/img]‘.黒皕甡萿.…
[url=http://wpa.qq.com/msgrd?V=1&Uin=878792&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子10 精华[url=http://forum.eviloctal.com/digest.php?authorid=118275]0[/url] 积分37 阅读权限40 性别男 在线时间15 小时 注册时间2007-5-5 最后登录2008-2-13 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=118275]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-141184.html]ayarei[/url] [img]http://forum.eviloctal.com/customavatars/141184.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 想法不错,方法陈旧了些,过不了HIPS[img]http://forum.eviloctal.com/images/smilies/yangcong/60.gif[/img]http://www.rootkitcn.com
帖子27 精华[url=http://forum.eviloctal.com/digest.php?authorid=141184]0[/url] 积分3070 阅读权限100 在线时间59 小时 注册时间2007-9-24 最后登录2008-7-23 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=141184]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-53666.html]willy123[/url] [img]http://forum.eviloctal.com/images/avatars/pw/sky1.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 08的可以监视到这个,我有个想法,劫持右键菜单,一般都是右键杀毒的,我就是 ,想想右键点xx杀毒就出来杀毒软件,至于如何劫持慢慢研究吧,方法是委琐了点 [img]http://forum.eviloctal.com/images/smilies/yangcong/57.gif[/img][img]http://forum.eviloctal.com/images/smilies/yangcong/63.gif[/img]just try ,good life !
帖子35 精华[url=http://forum.eviloctal.com/digest.php?authorid=53666]0[/url] 积分3194 阅读权限100 性别男 在线时间92 小时 注册时间2006-6-17 最后登录2008-6-28 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=53666]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-155317.html]7ctt[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 瑞星应该提示,你是乱搞的!
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=155317]0[/url] 积分9 阅读权限40 在线时间2 小时 注册时间2008-1-6 最后登录2008-2-20 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=155317]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-67862.html]simpleboy[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然
页:
[1]