Board logo

标题: [讨论]过NOD32内存何须如此麻烦 [打印本页]

作者: valen886    时间: 2008-7-25 13:56     标题: [讨论]过NOD32内存何须如此麻烦

[讨论]过NOD32内存何须如此麻烦
议题作者:xi4oyu
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

首先,我不知道“过内存”这个说法正确不,大家也就表追究了。
只是说说我的一个小发现吧,应该有点用处:
要移动硬盘里面的工具到别处,老是给NOD32杀,郁闷球。
有没有什么方法能绕过去呢?
方法当然是有的,关键看你有没有创造力了,嘿嘿。

nod32查毒之前会先看看文件的后缀是不是可执行文件,像什么exe,com啦之类的,那要是我自己创造一个可执行文件的格式呢?
闲话少说,看过程:

导出注册表里的.exe子项,然后修改.exe,比如我要增加一个.tt的后缀文件,我可以改成如下的样式:
引用:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.tt]
@="exefile"
"Content Type"="application/x-msdownload"


[HKEY_CLASSES_ROOT\.tt\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
双击导入注册表。把原来的aio.exe改成aio.tt吧。
   Screen Shot.jpg (27 KB)

2007-11-18 17:03
怎么样,可以运行吧。

就这么简单。呵呵,此方法适用于内存检查不考虑文件类型的杀毒软件。

此方法应该还有其他用途吧,比如留个后门啊。嘿嘿。我这只能算是抛砖引玉了,剩下的还请各位发挥吧。
帖子68 精华0 积分3365 阅读权限100 性别男 在线时间180 小时 注册时间2006-6-19 最后登录2008-7-23 查看详细资料TOP 您知道您年薪应是多少?

rwi
晶莹剔透§烈日灼然
作者: 诚俊哥    时间: 2008-7-25 13:56

这东西应该需要最高权限才能在肉鸡上实现吧?
帖子3 精华0 积分10 阅读权限40 在线时间7 小时 注册时间2007-3-8 最后登录2008-7-22 查看详细资料TOP 赚更多的钱

xi4oyu
荣誉会员

作者: popo    时间: 2008-7-25 13:56

其实对于PE文件格式的,在命令行运行的时候,只要随便改个文件名就可以了,不需要导入reg文件,cmdline默认首先尝试采用PE加载的方式加载文件,不管你这个程序是不是exe文件。
帖子68 精华0 积分3365 阅读权限100 性别男 在线时间180 小时 注册时间2006-6-19 最后登录2008-7-23 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

l-lover
晶莹剔透§烈日灼然
作者: 梦儿    时间: 2008-7-25 13:56

好活的想法啊&&…………………………

移动东西的时候被杀是属于内存查杀么??
如果是内存查杀的时候不是应该在移动的过程中被杀么?
可是我发现我只要点病毒文件就开始被查杀了~~
这个好是不是属于表面查杀呢??
我得去试试~~~
帖子10 精华0 积分37 阅读权限40 性别男 在线时间29 小时 注册时间2007-5-3 最后登录2008-5-28 查看详细资料TOP

mingjian987
蓝色血

荣誉会员

作者: ah_Ben    时间: 2008-7-25 13:56

这个是针对XP的是吧?
测试结果失败.
环境win nt
   111.jpg (5 KB)
出错现象

2007-11-22 09:14

帖子137 精华0 积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

shunyuncc
晶莹剔透§烈日灼然
作者: 大个仔    时间: 2008-7-25 13:56

楼上的 出现对话框表明已经成功了呵呵。
因为你改了QQ程序文件名当然出现这个错误了。。

帖子16 精华0 积分62 阅读权限40 在线时间55 小时 注册时间2006-1-4 最后登录2008-6-24 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

mingjian987
蓝色血

荣誉会员

作者: kato    时间: 2008-7-25 13:56

是这么一说啊?因该多多测试才对,嘿嘿.感谢shunyuncc 的指正.

帖子137 精华0 积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23 查看详细资料TOP 让女孩一夜变的更有女人味

gamespeed
晶莹剔透§烈日灼然
作者: 粟米    时间: 2008-7-25 13:56

NOD这点确实是做的simple了
要是杀软是检查PE头来判断是不是PE文件的话,就不会这么弱智了
帖子1 精华0 积分6 阅读权限40 性别男 在线时间2 小时 注册时间2007-10-29 最后登录2008-5-18 查看详细资料TOP

zilei
晶莹剔透§烈日灼然
作者: FI~鱼~SH    时间: 2008-7-25 13:56

我刚装上NOD



郁闷~~~~~~~~~~

学习中的小菜鸟,没办法啊!
高手有好的建议吗?(杀毒软件)
帖子8 精华0 积分17 阅读权限40 性别男 在线时间1 小时 注册时间2007-5-31 最后登录2008-5-26 查看详细资料TOP

nianshao
晶莹剔透§烈日灼然
作者: suiyuan_5    时间: 2008-7-25 13:57

照这样说是不是可以 自定义一个文件类型 譬如是 tt 不修改exe 然后把马改成tt 就可以形成免杀哪
帖子8 精华0 积分30 阅读权限40 性别男 在线时间6 小时 注册时间2007-3-3 最后登录2008-1-22 查看详细资料TOP

microalex
晶莹剔透§烈日灼然
作者: wajdm2000    时间: 2008-7-25 13:57

只能是针对NOD32,卡巴就不行了!
卡巴里边有一个选项,根据文件内容和根据文件扩展名,默认是内容……
帖子6 精华0 积分23 阅读权限40 性别男 在线时间2 小时 注册时间2007-10-18 最后登录2008-6-5 查看详细资料TOP

koer
晶莹剔透§烈日灼然
作者: liyin    时间: 2008-7-25 13:57

晕,怎么没做免杀啊
帖子8 精华0 积分3 阅读权限40 性别男 在线时间5 小时 注册时间2007-11-20 最后登录2008-7-13 查看详细资料TOP

黄瓜
晶莹剔透§烈日灼然
作者: yuxianglin    时间: 2008-7-25 13:57

引用:
引用第1楼rwi于2007-11-19 21:01发表的 :
这东西应该需要最高权限才能在肉鸡上实现吧?
主题发的是怎么绕过nod32
又和抓鸡ms没有什么关系我想飞却怎么也飞不起来。
帖子11 精华0 积分33 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-1 最后登录2008-5-14 查看详细资料TOP

mingjian987
蓝色血

荣誉会员

作者: kgbmmmm    时间: 2008-7-25 13:57

引用:
引用第8楼zilei于2007-11-22 22:39发表的 :
我刚装上NOD



郁闷~~~~~~~~~~
.......
所有杀软如果你需要针对的话.目前我所知的方法因该都有办法搞定..
并不是杀软的问题.而是操作者的操作是否得当的问题.LZ的目的在说明
病毒执行一项注册表的操作然后可以逃过NOD的查杀.试问您会轻易让
病毒在您机子上执行注册表操作吗?

帖子137 精华0 积分3463 阅读权限100 性别男 在线时间59 小时 注册时间2006-9-8 最后登录2008-7-23 查看详细资料TOP

caiguofeng
晶莹剔透§烈日灼然
作者: 紫禁城    时间: 2008-7-25 13:57

有没有啥办法过小红伞的..
帖子5 精华0 积分20 阅读权限40 在线时间2 小时 注册时间2007-1-20 最后登录2008-6-30 查看详细资料TOP

vdakulav
晶莹剔透§烈日灼然
作者: 老何    时间: 2008-7-25 13:57

高手啊,呵呵
帖子9 精华0 积分34 阅读权限40 性别男 在线时间1 小时 注册时间2007-8-24 最后登录2008-3-19 查看详细资料TOP

黄瓜
晶莹剔透§烈日灼然




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2