【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: [讨论]映像劫持过瑞星 [打印本页]

作者: s37su37 时间: 2008-7-24 17:25 标题: [讨论]映像劫持过瑞星

[讨论]映像劫持过瑞星
议题作者：无壳螃蟹
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

不久前在论坛里看到一位会员在讨论，无法结束瑞星进程的解决方法。后来我无意中想到了映像劫持，微软送给我们的利器。于是开始动手小试，对瑞星下手。

首先打开注册表编辑器，在[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] 下建立新项，命名为RavMon.exe，然后在该项内新建字符串值，命名为Debugger，该值内所填的路径，将是替代瑞星监控程序运行的程序。

winmine.jpg (53 KB)
修改后如图

2007-9-8 01:05
替换后开机运行的将是扫雷程序，可以发现右小角的小绿伞已经消失了。
方法：可以自己编程设计个小程序，运行时无进程，无窗口放到隐蔽的地方，再调用映像劫持去替换瑞星程序。这样一来我们的目的也就达到了。

第一次写文章，大家有什么意见欢迎提出来，谢谢。

帖子4 精华0 积分16 阅读权限40 性别男在线时间14 小时注册时间2007-3-16 最后登录2008-5-24 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经

xieshang

晶莹剔透§烈日灼然

作者: 易水寒 时间: 2008-7-24 17:25

呵呵
现在的好多毒都搞镜象劫持
结果
修电脑都要麻烦死
汗死....
呵呵

帖子9 精华0 积分31 阅读权限40 性别男在线时间8 小时注册时间2005-7-4 最后登录2008-7-4 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

炽天翼

晶莹剔透§烈日灼然

作者: 珉头 时间: 2008-7-24 17:25

这个方法还是实用。
帖子3 精华0 积分13 阅读权限40 在线时间3 小时注册时间2007-1-29 最后登录2007-9-17 查看详细资料TOP 让女孩一夜变的更有女人味

wrsky

晶莹剔透§烈日灼然

作者: 马可波罗 时间: 2008-7-24 17:25

我感觉这样做太显眼了.

帖子7 精华0 积分22 阅读权限40 性别男在线时间20 小时注册时间2006-3-28 最后登录2008-7-14 查看详细资料TOP

roclee

晶莹剔透§烈日灼然

作者: 周星星 时间: 2008-7-24 17:25

方法可取，但是实用性不强
容易被发现
帖子2 精华0 积分9 阅读权限40 性别男在线时间4 小时注册时间2006-9-6 最后登录2007-11-22 查看详细资料TOP 让女孩一夜变的更有女人味

无壳螃蟹

晶莹剔透§烈日灼然

作者: 6G150 时间: 2008-7-24 17:25

引用:
引用第1楼xieshang于2007-09-09 09:32发表的 :
呵呵
现在的好多毒都搞镜象劫持
结果
修电脑都要麻烦死
汗死....
.......
修改一下注册表该项的权限，即可防止病毒劫持。

帖子4 精华0 积分16 阅读权限40 性别男在线时间14 小时注册时间2007-3-16 最后登录2008-5-24 查看详细资料TOP 让女孩一夜变的更有女人味

yzy888

晶莹剔透§烈日灼然

作者: sghfxp 时间: 2008-7-24 17:25

瑞星好像有注册表监控的嘛,改注册表的时候它会有提示的,这是我的想法哈,还没有去试过, 不过应该是要提示的,
帖子21 精华0 积分71 阅读权限40 在线时间44 小时注册时间2007-1-10 最后登录2008-7-21 查看详细资料TOP 让女孩一夜变的更有女人味

remax

晶莹剔透§烈日灼然

作者: 李寻欢 时间: 2008-7-24 17:25

使用users组权限用户上网，限制users权限访问注册表。或者直接阻止当前用户访问注册表20字节够写什么？

帖子325 精华2 积分911 阅读权限50 在线时间79 小时注册时间2005-10-25 最后登录2008-7-13 查看个人网站
查看详细资料TOP

炫o逍遥o

晶莹剔透§烈日灼然

作者: 1606 时间: 2008-7-24 17:25

设置下那注册表的权限..
或者利用网上的一些例如autoruns之类的工具,都能干掉这种方法的..

学习ing
帖子12 精华0 积分99 阅读权限40 性别男来自四川在线时间6 小时注册时间2007-2-14 最后登录2008-7-10 查看详细资料TOP

无壳螃蟹

晶莹剔透§烈日灼然

作者: win 时间: 2008-7-24 17:25

引用:
引用第6楼yzy888于2007-09-10 08:33发表的 :
瑞星好像有注册表监控的嘛,改注册表的时候它会有提示的,这是我的想法哈,还没有去试过, 不过应该是要提示的,
瑞星的注册表监控不监控这里的。我就是开着瑞星改的。至于08版的瑞星还没尝试。我等正式版出来再去试，包括卡巴。
而且还有了个更好的思路，以后再发出来。

帖子4 精华0 积分16 阅读权限40 性别男在线时间14 小时注册时间2007-3-16 最后登录2008-5-24 查看详细资料TOP

knlve

晶莹剔透§烈日灼然

作者: 小兵张噶 时间: 2008-7-24 17:25

呵呵`;变通一下,利用起来做服务器后门不错!

‘.黒皕甡萿.…

帖子10 精华0 积分37 阅读权限40 性别男在线时间15 小时注册时间2007-5-5 最后登录2008-2-13 查看详细资料TOP

ayarei

荣誉会员

作者: 好牙烟 时间: 2008-7-24 17:25

想法不错，方法陈旧了些，过不了HIPS

http://www.rootkitcn.com
帖子27 精华0 积分3070 阅读权限100 在线时间59 小时注册时间2007-9-24 最后登录2008-7-23 查看详细资料TOP

willy123

荣誉会员

作者: 名山大川 时间: 2008-7-24 17:25

08的可以监视到这个,我有个想法,劫持右键菜单,一般都是右键杀毒的,我就是 ,想想右键点xx杀毒就出来杀毒软件,至于如何劫持慢慢研究吧,方法是委琐了点

just try ,good life !
帖子35 精华0 积分3194 阅读权限100 性别男在线时间92 小时注册时间2006-6-17 最后登录2008-6-28 查看详细资料TOP

7ctt

晶莹剔透§烈日灼然

作者: 二少 时间: 2008-7-24 17:25

瑞星应该提示,你是乱搞的!
帖子2 精华0 积分9 阅读权限40 在线时间2 小时注册时间2008-1-6 最后登录2008-2-20 查看详细资料TOP

simpleboy

晶莹剔透§烈日灼然

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)