标题:
[讨论]过NOD32内存何须如此麻烦
[打印本页]
作者:
valen886
时间:
2008-7-25 13:56
标题:
[讨论]过NOD32内存何须如此麻烦
[讨论]过NOD32内存何须如此麻烦
议题作者:xi4oyu
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
首先,我不知道“过内存”这个说法正确不,大家也就表追究了。
只是说说我的一个小发现吧,应该有点用处:
要移动硬盘里面的工具到别处,老是给NOD32杀,郁闷球。
有没有什么方法能绕过去呢?
方法当然是有的,关键看你有没有创造力了,嘿嘿。
nod32查毒之前会先看看文件的后缀是不是可执行文件,像什么exe,com啦之类的,那要是我自己创造一个可执行文件的格式呢?
闲话少说,看过程:
导出注册表里的.exe子项,然后修改.exe,比如我要增加一个.tt的后缀文件,我可以改成如下的样式:
引用:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.tt]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.tt\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
双击导入注册表。把原来的aio.exe改成aio.tt吧。
Screen Shot.jpg
(27 KB)
2007-11-18 17:03
怎么样,可以运行吧。
就这么简单。呵呵,此方法适用于内存检查不考虑文件类型的杀毒软件。
此方法应该还有其他用途吧,比如留个后门啊。嘿嘿。我这只能算是抛砖引玉了,剩下的还请各位发挥吧。
帖子68 精华
0
积分3365 阅读权限100 性别男 在线时间180 小时 注册时间2006-6-19 最后登录2008-7-23
查看详细资料
TOP
您知道您年薪应是多少?
rwi
晶莹剔透§烈日灼然
作者:
诚俊哥
时间:
2008-7-25 13:56
这东西应该需要最高权限才能在肉鸡上实现吧?
帖子3 精华
0
积分10 阅读权限40 在线时间7 小时 注册时间2007-3-8 最后登录2008-7-22
查看详细资料
TOP
赚更多的钱
xi4oyu
荣誉会员
作者:
popo
时间:
2008-7-25 13:56
其实对于PE文件格式的,在命令行运行的时候,只要随便改个文件名就可以了,不需要导入reg文件,cmdline默认首先尝试采用PE加载的方式加载文件,不管你这个程序是不是exe文件。
帖子68 精华
0
积分3365 阅读权限100 性别男 在线时间180 小时 注册时间2006-6-19 最后登录2008-7-23
查看详细资料
TOP
良辰择日,预测咨询,公司改名,权威易经
l-lover
晶莹剔透§烈日灼然
作者:
梦儿
时间:
2008-7-25 13:56
好活的想法啊&&…………………………
移动东西的时候被杀是属于内存查杀么??
如果是内存查杀的时候不是应该在移动的过程中被杀么?
可是我发现我只要点病毒文件就开始被查杀了~~
这个好是不是属于表面查杀呢??
我得去试试~~~
帖子10 精华
0
积分37 阅读权限40 性别男 在线时间29 小时 注册时间2007-5-3 最后登录2008-5-28
查看详细资料
TOP
mingjian987
蓝色血
荣誉会员
作者:
ah_Ben
时间:
2008-7-25 13:56
这个是针对XP的是吧?
测试结果失败.
环境win nt
111.jpg
(5 KB)
出错现象
2007-11-22 09:14
帖子137 精华
0
积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23
查看详细资料
TOP
良辰择日,预测咨询,公司改名,权威易经
shunyuncc
晶莹剔透§烈日灼然
作者:
大个仔
时间:
2008-7-25 13:56
楼上的 出现对话框表明已经成功了呵呵。
因为你改了QQ程序文件名当然出现这个错误了。。
帖子16 精华
0
积分62 阅读权限40 在线时间55 小时 注册时间2006-1-4 最后登录2008-6-24
查看详细资料
TOP
良辰择日,预测咨询,公司改名,权威易经
mingjian987
蓝色血
荣誉会员
作者:
kato
时间:
2008-7-25 13:56
是这么一说啊?因该多多测试才对,嘿嘿.感谢shunyuncc 的指正.
帖子137 精华
0
积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23
查看详细资料
TOP
让女孩一夜变的更有女人味
gamespeed
晶莹剔透§烈日灼然
作者:
粟米
时间:
2008-7-25 13:56
NOD这点确实是做的simple了
要是杀软是检查PE头来判断是不是PE文件的话,就不会这么弱智了
帖子1 精华
0
积分6 阅读权限40 性别男 在线时间2 小时 注册时间2007-10-29 最后登录2008-5-18
查看详细资料
TOP
zilei
晶莹剔透§烈日灼然
作者:
FI~鱼~SH
时间:
2008-7-25 13:56
我刚装上NOD
郁闷~~~~~~~~~~
学习中的小菜鸟,没办法啊!
高手有好的建议吗?(杀毒软件)
帖子8 精华
0
积分17 阅读权限40 性别男 在线时间1 小时 注册时间2007-5-31 最后登录2008-5-26
查看详细资料
TOP
nianshao
晶莹剔透§烈日灼然
作者:
suiyuan_5
时间:
2008-7-25 13:57
照这样说是不是可以 自定义一个文件类型 譬如是 tt 不修改exe 然后把马改成tt 就可以形成免杀哪
帖子8 精华
0
积分30 阅读权限40 性别男 在线时间6 小时 注册时间2007-3-3 最后登录2008-1-22
查看详细资料
TOP
microalex
晶莹剔透§烈日灼然
作者:
wajdm2000
时间:
2008-7-25 13:57
只能是针对NOD32,卡巴就不行了!
卡巴里边有一个选项,根据文件内容和根据文件扩展名,默认是内容……
帖子6 精华
0
积分23 阅读权限40 性别男 在线时间2 小时 注册时间2007-10-18 最后登录2008-6-5
查看详细资料
TOP
koer
晶莹剔透§烈日灼然
作者:
liyin
时间:
2008-7-25 13:57
晕,怎么没做免杀啊
帖子8 精华
0
积分3 阅读权限40 性别男 在线时间5 小时 注册时间2007-11-20 最后登录2008-7-13
查看详细资料
TOP
黄瓜
晶莹剔透§烈日灼然
作者:
yuxianglin
时间:
2008-7-25 13:57
引用:
引用第1楼rwi于2007-11-19 21:01发表的 :
这东西应该需要最高权限才能在肉鸡上实现吧?
主题发的是怎么绕过nod32
又和抓鸡ms没有什么关系我想飞却怎么也飞不起来。
帖子11 精华
0
积分33 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-1 最后登录2008-5-14
查看详细资料
TOP
mingjian987
蓝色血
荣誉会员
作者:
kgbmmmm
时间:
2008-7-25 13:57
引用:
引用第8楼zilei于2007-11-22 22:39发表的 :
我刚装上NOD
郁闷~~~~~~~~~~
.......
所有杀软如果你需要针对的话.目前我所知的方法因该都有办法搞定..
并不是杀软的问题.而是操作者的操作是否得当的问题.LZ的目的在说明
病毒执行一项注册表的操作然后可以逃过NOD的查杀.试问您会轻易让
病毒在您机子上执行注册表操作吗?
帖子137 精华
0
积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23
查看详细资料
TOP
caiguofeng
晶莹剔透§烈日灼然
作者:
紫禁城
时间:
2008-7-25 13:57
有没有啥办法过小红伞的..
帖子5 精华
0
积分20 阅读权限40 在线时间2 小时 注册时间2007-1-20 最后登录2008-6-30
查看详细资料
TOP
vdakulav
晶莹剔透§烈日灼然
作者:
老何
时间:
2008-7-25 13:57
高手啊,呵呵
帖子9 精华
0
积分34 阅读权限40 性别男 在线时间1 小时 注册时间2007-8-24 最后登录2008-3-19
查看详细资料
TOP
黄瓜
晶莹剔透§烈日灼然
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
Screen Shot.jpg (27 KB)
111.jpg (5 KB) 
