超越白加黑的另类写启动方式

显示全部楼层 · 发表于 2016-7-21 09:35:18

本帖最后由 kfa13 于 2016-7-21 11:48 编辑

UPDATE1:SB 360 拉黑了我的1.rar，附件 1.rar 已更新。
UPDATE2:快捷方式并未考虑UAC开启的情况，不过让快捷方式支持管理员方式运行expand.exe也可以办到，我懒得改附件了。主要是这个启动方式的思路，不是具体这个附件，用什么程序那多了去了。
-------------------------------------------------------------------

我们知道，傻逼AV都喜欢弄很多白名单装逼。

所以有人发明了白加黑的方式把AV恶心的晕头转向。当然AV也不是吃素的，比如360在XP系统上就愣是把白加黑赶尽杀绝。

但是还有一种差不多白利用方式，如果仅仅为了实现写启动这个目的，那么比白加黑更简单。这个方法就是：快捷方式+白程序。

白程序是一个支持命令行写启动的白程序，快捷方式指向带这个命令行的白程序。

这种白程序有哪些呢？

一种是系统自带的。比如reg.exe,regedit.exe,xcopy.exe,cmd.exe,sc.exe,net.exe,rundll32等，不过这些可能都被拦了。那就用其他的。

最好的就是expand.exe，这个文件是XP就有的，可以随意复制文件。

还有的XP没有的，比如robocopy.exe，wusa.exe,那也只要打包放到快捷方式旁边即可支持XP。

另一种不是系统自带的。这就更多了，只要是支持命令行移动文件的，或者写注册表的在白名单就可以。。各种系统工具，安全工具的命令行版本都可以。

但是最好还是系统自带的，因为不是系统自带的有个瑕疵：万一是在压缩包里点击的快捷方式，快捷方式没办法打开压缩包里的程序，只能调用系统程序（其实也可以，就是比较麻烦，得把压缩包弄成cab格式，快捷方式先调用expand之类的解压到特定目录，再继续写启动）。

附件1.rar是一个比较好玩的用expand写启动的，解压出来也可以，不解压也可以：只要下载下来不改压缩包名字，保持1.rar。然后直接在压缩包里运行"开始游戏.lnk"就可以把自己复制到启动目录。这里面有个小技巧的。
附件2.rar是用robocopy.exe写启动的，只能解压出来运行"开始游戏.lnk"。

这两个都是我测试在win7上写启动的，xp只要把快捷方式的路径修改下就可以。

显示全部楼层 · 发表于 2016-7-21 10:16:42

win10上2个都不起作用。。。
1运行后没反应，
2运行后是这样的，也是无效的

这时候实机360报1了

显示全部楼层 · 发表于 2016-7-21 10:21:54

又实验了win7 32位系统，同样的无效

显示全部楼层 · 发表于 2016-7-21 10:31:40

本帖最后由 kfa13 于 2016-7-21 10:33 编辑

vm001 发表于 2016-7-21 10:16
win10上2个都不起作用。。。
1运行后没反应，
2运行后是这样的，也是无效的

UAC开了么？

这个方法100%肯定是可以的

你图片里拒绝我估计可能是UAC开了的缘故。
或者WIN10的位置和WIN7不一样的缘故。我只是在WIN7做的，其他系统的需要把路径改下，改成你自己的启动目录。（我也懒得改快捷方式了。其实快捷方式里面复制到多个位置就可以照顾所有系统）

你说的1.rar没反应是正常的，本来就没有反应，你看看启动文件夹里有没有写入。

至于360那个报，我这里360sd默认设置是不报的。我这个1.rar本身其实是个exe,我没做免杀罢了。木马从启动文件夹的时候，360根本还没启动，所以报这个没意义的。

显示全部楼层 · 发表于 2016-7-21 10:36:09

kfa13 发表于 2016-7-21 10:31
UAC开了么？

这个方法100%肯定是可以的

1的没反应，启动文件夹里也没有
uac开了

显示全部楼层 · 发表于 2016-7-21 10:59:32

本帖最后由 kfa13 于 2016-7-21 11:03 编辑

vm001 发表于 2016-7-21 10:36
1的没反应，启动文件夹里也没有
uac开了

UAC可能有关系。
我刚才在我机子上试了下，确定主要是360杀毒云端拦截的缘故。你关了360杀毒就可以了。如果还不行就关了UAC

360杀毒接一堆数字字母的云端拦截就是这样，会过一会才弹窗。
而且因为你先运行了1.rar。
那个被拦截了。所以释放不成功，所以后面的2.rar释放到同样的位置也阻止，因为这两个都是释放到同一位置，你先运行1.rar被拦截。

显示全部楼层 · 发表于 2016-7-21 11:05:48

360就是这么装B，

估计要么是蹲坑拉黑，要么就是上传了EXE，毕竟我也是默认设置随他上传EXE。。。要么是根据我的客户端的运行记录，进程的命令行拉黑。

那好，我重新传一个没拉黑的1.rar。继续拉黑吧。

显示全部楼层 · 发表于 2016-7-21 11:16:47

本帖最后由 vm001 于 2016-7-21 11:21 编辑

kfa13 发表于 2016-7-21 11:05
360就是这么装B，

估计要么是蹲坑拉黑，要么就是上传了EXE，毕竟我也是默认设置随他上传EXE。。。要么是 ...

都没有写入成功

显示全部楼层 · 发表于 2016-7-21 11:21:46

vm001 发表于 2016-7-21 11:16
估计是win10的缘故1 2都不行。2估计和uac有关，1这个可以在win7上写成功，我安装下360卫士看下

主要是这个方法。明白方法了，用的什么程序，什么路径都不重要。。我虚拟机也只有一个XP，没法测试那么多系统。

显示全部楼层 · 发表于 2016-7-21 11:22:43

kfa13 发表于 2016-7-21 11:21
主要是这个方法。明白方法了，用的什么程序不重要，随便搞。我虚拟机也只有一个XP，没法测试那么多系统。

修改了下回复，之前以后写入成功是因为用火绒看到了写入动作，其实都没有写入成功。。

[讨论] 超越白加黑的另类写启动方式

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

哦，都没有