★★★哈哈,振伟哥哥要方法,想了个挂金山的方法,,,,好久没搞了,弄起来还是蛮爽的,,,..

显示全部楼层 · 发表于 2011-8-30 10:41:23

乃又来折腾毒霸了......伤不起啊....

显示全部楼层 · 发表于 2011-8-30 10:42:14

本帖最后由李白vs苏轼于 2011-8-30 10:42 编辑

FOXFFF 发表于 2011-8-30 10:41
乃又来折腾毒霸了......伤不起啊....

一时兴起而已

显示全部楼层 · 发表于 2011-8-30 10:43:38

pendmove删除貌似可以搞死一大片系统，何况毒霸了。批处理竟然不防？果断杯具。

显示全部楼层 · 发表于 2011-8-30 10:47:20

evilrabbit 发表于 2011-8-30 10:43
pendmove删除貌似可以搞死一大片系统，何况毒霸了。批处理竟然不防？果断杯具。

破坏系统是很无聊的事情啊，
有针对性的好
其实不是不妨批处理

是注册表防御漏了
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor

还有run的判断逻辑存在问题

显示全部楼层 · 发表于 2011-8-30 10:51:02

李白vs苏轼发表于 2011-8-30 10:47
破坏系统是很无聊的事情啊，
有针对性的好
其实不是不妨批处理

注册表防御，漏掉的东西多了去了。好多厂商拦截不到位的，包括手动hips建规则啥的。

显示全部楼层 · 发表于 2011-8-30 10:51:30

李白vs苏轼发表于 2011-8-30 10:42
一时兴起而已

乃的一时兴起很多杀软都伤不起的...不过加油哦，看好乃的技术！促进杀软进步嘛....

显示全部楼层 · 发表于 2011-8-30 10:52:35

本帖最后由李白vs苏轼于 2011-8-30 10:54 编辑

evilrabbit 发表于 2011-8-30 10:51
注册表防御，漏掉的东西多了去了。好多厂商拦截不到位的，包括手动hips建规则啥的。

对,这就是为啥我不直接往run写bat的原因，多加了个Command Processor
这个地方太出名了，呵呵

只是顺便提一下这个，，呵呵，蛮好利用的

显示全部楼层 · 发表于 2011-8-30 10:54:44

李白vs苏轼发表于 2011-8-30 10:52
对,这就是为啥我不直接往run写bat的原因，多加了个Command Processor

只是顺便提一下这个，，呵呵，蛮 ...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 其实这里面也可以大作文章的。还有部分clisd等等

显示全部楼层 · 发表于 2011-8-30 10:56:14

evilrabbit 发表于 2011-8-30 10:54
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 其实这里面也可以大作文章的。还 ...

Winlogon也爽，金山也是没拦的

显示全部楼层 · 发表于 2011-8-30 10:57:52

李白vs苏轼发表于 2011-8-30 10:56
Winlogon也爽，金山也是没拦的

呵呵盘符方面也没拦截吧

[金山] ★★★哈哈,振伟哥哥要方法,想了个挂金山的方法,,,,好久没搞了,弄起来还是蛮爽的,,,..