Board logo

标题: [讨论]映像劫持过瑞星 [打印本页]

作者: s37su37    时间: 2008-7-24 17:25     标题: [讨论]映像劫持过瑞星

[讨论]映像劫持过瑞星
议题作者:无壳螃蟹
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

不久前在论坛里看到一位会员在讨论,无法结束瑞星进程的解决方法。后来我无意中想到了映像劫持,微软送给我们的利器。于是开始动手小试,对瑞星下手。

首先打开注册表编辑器,在[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] 下建立新项,命名为RavMon.exe,然后在该项内新建字符串值,命名为Debugger,该值内所填的路径,将是替代瑞星监控程序运行的程序。
   winmine.jpg (53 KB)
修改后如图

2007-9-8 01:05
替换后开机运行的将是扫雷程序,可以发现右小角的小绿伞已经消失了。
方法:可以自己编程设计个小程序,运行时无进程,无窗口放到隐蔽的地方,再调用映像劫持去替换瑞星程序。这样一来我们的目的也就达到了。

第一次写文章,大家有什么意见欢迎提出来,谢谢。


帖子4 精华0 积分16 阅读权限40 性别男 在线时间14 小时 注册时间2007-3-16 最后登录2008-5-24 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

xieshang
晶莹剔透§烈日灼然
作者: 易水寒    时间: 2008-7-24 17:25

呵呵
现在的好多毒都搞镜象劫持
结果
修电脑都要麻烦死
汗死....
呵呵

帖子9 精华0 积分31 阅读权限40 性别男 在线时间8 小时 注册时间2005-7-4 最后登录2008-7-4 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

炽天翼
晶莹剔透§烈日灼然
作者: 珉头    时间: 2008-7-24 17:25


这个方法还是实用。
帖子3 精华0 积分13 阅读权限40 在线时间3 小时 注册时间2007-1-29 最后登录2007-9-17 查看详细资料TOP 让女孩一夜变的更有女人味

wrsky
晶莹剔透§烈日灼然
作者: 马可波罗    时间: 2008-7-24 17:25

我感觉这样做太显眼了.
帖子7 精华0 积分22 阅读权限40 性别男 在线时间20 小时 注册时间2006-3-28 最后登录2008-7-14 查看详细资料TOP

roclee
晶莹剔透§烈日灼然
作者: 周星星    时间: 2008-7-24 17:25

方法可取,但是实用性不强
容易被发现
帖子2 精华0 积分9 阅读权限40 性别男 在线时间4 小时 注册时间2006-9-6 最后登录2007-11-22 查看详细资料TOP 让女孩一夜变的更有女人味

无壳螃蟹
晶莹剔透§烈日灼然
作者: 6G150    时间: 2008-7-24 17:25

引用:
引用第1楼xieshang于2007-09-09 09:32发表的 :
呵呵
现在的好多毒都搞镜象劫持
结果
修电脑都要麻烦死
汗死....
.......
修改一下注册表该项的权限,即可防止病毒劫持。

帖子4 精华0 积分16 阅读权限40 性别男 在线时间14 小时 注册时间2007-3-16 最后登录2008-5-24 查看详细资料TOP 让女孩一夜变的更有女人味

yzy888
晶莹剔透§烈日灼然
作者: sghfxp    时间: 2008-7-24 17:25

瑞星好像有注册表监控的嘛,改注册表的时候它会有提示的,这是我的想法哈,还没有去试过, 不过应该是要提示的,
帖子21 精华0 积分71 阅读权限40 在线时间44 小时 注册时间2007-1-10 最后登录2008-7-21 查看详细资料TOP 让女孩一夜变的更有女人味

remax
晶莹剔透§烈日灼然
作者: 李寻欢    时间: 2008-7-24 17:25

使用users组权限用户上网,限制users权限访问注册表。或者直接阻止当前用户访问注册表20字节够写什么?

帖子325 精华2 积分911 阅读权限50 在线时间79 小时 注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料TOP

炫o逍遥o
晶莹剔透§烈日灼然
作者: 1606    时间: 2008-7-24 17:25

设置下那注册表的权限..
或者利用网上的一些例如autoruns之类的工具,都能干掉这种方法的..   学习ing
帖子12 精华0 积分99 阅读权限40 性别男 来自四川 在线时间6 小时 注册时间2007-2-14 最后登录2008-7-10 查看详细资料TOP

无壳螃蟹
晶莹剔透§烈日灼然
作者: win    时间: 2008-7-24 17:25

引用:
引用第6楼yzy888于2007-09-10 08:33发表的 :
瑞星好像有注册表监控的嘛,改注册表的时候它会有提示的,这是我的想法哈,还没有去试过, 不过应该是要提示的,
瑞星的注册表监控不监控这里的。我就是开着瑞星改的。至于08版的瑞星还没尝试。我等正式版出来再去试,包括卡巴。
而且还有了个更好的思路,以后再发出来。

帖子4 精华0 积分16 阅读权限40 性别男 在线时间14 小时 注册时间2007-3-16 最后登录2008-5-24 查看详细资料TOP

knlve
晶莹剔透§烈日灼然
作者: 小兵张噶    时间: 2008-7-24 17:25

呵呵`;变通一下,利用起来做服务器后门不错!‘.黒皕甡萿.…

帖子10 精华0 积分37 阅读权限40 性别男 在线时间15 小时 注册时间2007-5-5 最后登录2008-2-13 查看详细资料TOP

ayarei
荣誉会员

作者: 好牙烟    时间: 2008-7-24 17:25

想法不错,方法陈旧了些,过不了HIPShttp://www.rootkitcn.com
帖子27 精华0 积分3070 阅读权限100 在线时间59 小时 注册时间2007-9-24 最后登录2008-7-23 查看详细资料TOP

willy123
荣誉会员

作者: 名山大川    时间: 2008-7-24 17:25

08的可以监视到这个,我有个想法,劫持右键菜单,一般都是右键杀毒的,我就是  ,想想右键点xx杀毒就出来杀毒软件,至于如何劫持慢慢研究吧,方法是委琐了点 just try ,good life !
帖子35 精华0 积分3194 阅读权限100 性别男 在线时间92 小时 注册时间2006-6-17 最后登录2008-6-28 查看详细资料TOP

7ctt
晶莹剔透§烈日灼然
作者: 二少    时间: 2008-7-24 17:25

瑞星应该提示,你是乱搞的!
帖子2 精华0 积分9 阅读权限40 在线时间2 小时 注册时间2008-1-6 最后登录2008-2-20 查看详细资料TOP

simpleboy
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2