[讨论]过NOD32内存何须如此麻烦
[讨论]过NOD32内存何须如此麻烦议题作者:xi4oyu
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])
首先,我不知道“过内存”这个说法正确不,大家也就表追究了。
只是说说我的一个小发现吧,应该有点用处:
要移动硬盘里面的工具到别处,老是给NOD32杀,郁闷球。
有没有什么方法能绕过去呢?
方法当然是有的,关键看你有没有创造力了,嘿嘿。
nod32查毒之前会先看看文件的后缀是不是可执行文件,像什么exe,com啦之类的,那要是我自己创造一个可执行文件的格式呢?
闲话少说,看过程:
导出注册表里的.exe子项,然后修改.exe,比如我要增加一个.tt的后缀文件,我可以改成如下的样式:
引用:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.tt]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.tt\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
双击导入注册表。把原来的aio.exe改成aio.tt吧。
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0711/58_4_cbd940a7b81de25.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img][url=http://forum.eviloctal.com/attachment.php?aid=6873¬humb=yes]Screen Shot.jpg[/url] (27 KB)
2007-11-18 17:03
怎么样,可以运行吧。
就这么简单。呵呵,此方法适用于内存检查不考虑文件类型的杀毒软件。
此方法应该还有其他用途吧,比如留个后门啊。嘿嘿。我这只能算是抛砖引玉了,剩下的还请各位发挥吧。
帖子68 精华[url=http://forum.eviloctal.com/digest.php?authorid=53997]0[/url] 积分3365 阅读权限100 性别男 在线时间180 小时 注册时间2006-6-19 最后登录2008-7-23 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=53997]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=猎头&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]您知道您年薪应是多少?[/url]
[url=http://forum.eviloctal.com/space-uid-88115.html]rwi[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 这东西应该需要最高权限才能在肉鸡上实现吧?
帖子3 精华[url=http://forum.eviloctal.com/digest.php?authorid=88115]0[/url] 积分10 阅读权限40 在线时间7 小时 注册时间2007-3-8 最后登录2008-7-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=88115]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]
[url=http://forum.eviloctal.com/space-uid-53997.html]xi4oyu[/url] [img]http://forum.eviloctal.com/customavatars/53997.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 其实对于PE文件格式的,在命令行运行的时候,只要随便改个文件名就可以了,不需要导入reg文件,cmdline默认首先尝试采用PE加载的方式加载文件,不管你这个程序是不是exe文件。
帖子68 精华[url=http://forum.eviloctal.com/digest.php?authorid=53997]0[/url] 积分3365 阅读权限100 性别男 在线时间180 小时 注册时间2006-6-19 最后登录2008-7-23 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=53997]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-117688.html]l-lover[/url] [img]http://forum.eviloctal.com/images/avatars/pw/smile4.JPG[/img]
晶莹剔透§烈日灼然 好活的想法啊&&…………………………
移动东西的时候被杀是属于内存查杀么??
如果是内存查杀的时候不是应该在移动的过程中被杀么?
可是我发现我只要点病毒文件就开始被查杀了~~
这个好是不是属于表面查杀呢??
我得去试试~~~
帖子10 精华[url=http://forum.eviloctal.com/digest.php?authorid=117688]0[/url] 积分37 阅读权限40 性别男 在线时间29 小时 注册时间2007-5-3 最后登录2008-5-28 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=117688]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-63452.html]mingjian987[/url]
蓝色血
[img]http://forum.eviloctal.com/customavatars/63452.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 这个是针对XP的是吧?
测试结果失败.
环境win nt
[img]http://forum.eviloctal.com/images/default/attachimg.gif[/img] [img]http://forum.eviloctal.com/attachments/Mon_0711/9_63452_4f86dcf13d59b9d.jpg[/img] [img]http://forum.eviloctal.com/images/attachicons/image.gif[/img][url=http://forum.eviloctal.com/attachment.php?aid=7584¬humb=yes]111.jpg[/url] (5 KB)
出错现象
2007-11-22 09:14
[url=http://wpa.qq.com/msgrd?V=1&Uin=49686197&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子137 精华[url=http://forum.eviloctal.com/digest.php?authorid=63452]0[/url] 积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=63452]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-25853.html]shunyuncc[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 楼上的 出现对话框表明已经成功了呵呵。
因为你改了QQ程序文件名当然出现这个错误了。。
[img]http://forum.eviloctal.com/images/smilies/yangcong/62.gif[/img]
帖子16 精华[url=http://forum.eviloctal.com/digest.php?authorid=25853]0[/url] 积分62 阅读权限40 在线时间55 小时 注册时间2006-1-4 最后登录2008-6-24 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=25853]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-63452.html]mingjian987[/url]
蓝色血
[img]http://forum.eviloctal.com/customavatars/63452.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 是这么一说啊?因该多多测试才对,嘿嘿.感谢shunyuncc 的指正.
[url=http://wpa.qq.com/msgrd?V=1&Uin=49686197&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子137 精华[url=http://forum.eviloctal.com/digest.php?authorid=63452]0[/url] 积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=63452]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-146018.html]gamespeed[/url] [img]http://forum.eviloctal.com/images/avatars/pw/matrix2.jpg[/img]
晶莹剔透§烈日灼然 NOD这点确实是做的simple了
要是杀软是检查PE头来判断是不是PE文件的话,就不会这么弱智了
帖子1 精华[url=http://forum.eviloctal.com/digest.php?authorid=146018]0[/url] 积分6 阅读权限40 性别男 在线时间2 小时 注册时间2007-10-29 最后登录2008-5-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=146018]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-124582.html]zilei[/url] [img]http://forum.eviloctal.com/images/avatars/pw/matrix4.jpg[/img]
晶莹剔透§烈日灼然 我刚装上NOD
[img]http://forum.eviloctal.com/images/smilies/yangcong/63.gif[/img]
郁闷~~~~~~~~~~
学习中的小菜鸟,没办法啊!
高手有好的建议吗?(杀毒软件)
帖子8 精华[url=http://forum.eviloctal.com/digest.php?authorid=124582]0[/url] 积分17 阅读权限40 性别男 在线时间1 小时 注册时间2007-5-31 最后登录2008-5-26 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=124582]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-86279.html]nianshao[/url] [img]http://forum.eviloctal.com/customavatars/86279.jpg[/img]
晶莹剔透§烈日灼然 照这样说是不是可以 自定义一个文件类型 譬如是 tt 不修改exe 然后把马改成tt 就可以形成免杀哪
帖子8 精华[url=http://forum.eviloctal.com/digest.php?authorid=86279]0[/url] 积分30 阅读权限40 性别男 在线时间6 小时 注册时间2007-3-3 最后登录2008-1-22 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=86279]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-144322.html]microalex[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 只能是针对NOD32,卡巴就不行了!
卡巴里边有一个选项,根据文件内容和根据文件扩展名,默认是内容……
帖子6 精华[url=http://forum.eviloctal.com/digest.php?authorid=144322]0[/url] 积分23 阅读权限40 性别男 在线时间2 小时 注册时间2007-10-18 最后登录2008-6-5 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=144322]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-149259.html]koer[/url] [img]http://forum.eviloctal.com/images/avatars/pw/barbie2.jpg[/img]
晶莹剔透§烈日灼然 晕,怎么没做免杀啊
帖子8 精华[url=http://forum.eviloctal.com/digest.php?authorid=149259]0[/url] 积分3 阅读权限40 性别男 在线时间5 小时 注册时间2007-11-20 最后登录2008-7-13 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=149259]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-150805.html]黄瓜[/url] [img]http://forum.eviloctal.com/images/avatars/pw/eviloctal1.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第1楼rwi于2007-11-19 21:01发表的 :
这东西应该需要最高权限才能在肉鸡上实现吧?
主题发的是怎么绕过nod32
又和抓鸡ms没有什么关系我想飞却怎么也飞不起来。
帖子11 精华[url=http://forum.eviloctal.com/digest.php?authorid=150805]0[/url] 积分33 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-1 最后登录2008-5-14 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=150805]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-63452.html]mingjian987[/url]
蓝色血
[img]http://forum.eviloctal.com/customavatars/63452.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 引用:
引用第8楼zilei于2007-11-22 22:39发表的 :
我刚装上NOD
[img]http://forum.eviloctal.com/images/smilies/yangcong/63.gif[/img]
郁闷~~~~~~~~~~
.......
所有杀软如果你需要针对的话.目前我所知的方法因该都有办法搞定..
并不是杀软的问题.而是操作者的操作是否得当的问题.LZ的目的在说明
病毒执行一项注册表的操作然后可以逃过NOD的查杀.试问您会轻易让
病毒在您机子上执行注册表操作吗?[img]http://forum.eviloctal.com/images/smilies/yangcong/63.gif[/img]
[url=http://wpa.qq.com/msgrd?V=1&Uin=49686197&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子137 精华[url=http://forum.eviloctal.com/digest.php?authorid=63452]0[/url] 积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=63452]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-73096.html]caiguofeng[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 有没有啥办法过小红伞的..
帖子5 精华[url=http://forum.eviloctal.com/digest.php?authorid=73096]0[/url] 积分20 阅读权限40 在线时间2 小时 注册时间2007-1-20 最后登录2008-6-30 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=73096]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-136677.html]vdakulav[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 高手啊,呵呵
帖子9 精华[url=http://forum.eviloctal.com/digest.php?authorid=136677]0[/url] 积分34 阅读权限40 性别男 在线时间1 小时 注册时间2007-8-24 最后登录2008-3-19 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=136677]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-150805.html]黄瓜[/url] [img]http://forum.eviloctal.com/images/avatars/pw/eviloctal1.gif[/img]
晶莹剔透§烈日灼然
页:
[1]