突破360主防和金山k+成功盗取qq密码.大家看看那一个主防能防.

ujty

yjwfdc 发表于 2011-10-20 17:51
金山k+也杀,

这类样本如果成功免杀这两家的云,也就成功了.

过主流者过天下，很大程度上是对的。

zhq445078388

Tron 发表于 2011-10-24 16:36
nprotect,通过底层挂钩抢先获得键盘输入，再加密后传输给客户端程序，基本可以杜绝这种伪装型，缺点是需 ...

意思是说 驱动先挂键盘 然后获取键盘输入
直接通过管道或者回环地址把加密的数据传送到指定客户端
然后客户端读取这个 再登陆
是这意思吗？
只是这样的话 qq虽然登陆成功了。。那个小编辑框？。。难道收不到信息吗？
我感觉。。。毕竟qq的登录框已经失去焦点了 除非那东西是qq的登陆界面没关 就所有输入强制进qq  不然还是不行啊

Tron

zhq445078388 发表于 2011-10-24 16:41
意思是说 驱动先挂键盘 然后获取键盘输入
直接通过管道或者回环地址把加密的数据传送到指定客户端
然后 ...

编辑框收到的是被驱动改掉的键盘数据，真实的数据已经加密送给QQ了。

久远寺有珠

在沙盘里面里面跑QQ

zhq445078388

Tron 发表于 2011-10-24 16:52
编辑框收到的是被驱动改掉的键盘数据，真实的数据已经加密送给QQ了。

嗷嗷 意思是说 那个安全模块的驱动把键代码改掉了发过去了
真正的 通过加密 送到客户端 是吧是这个意思吧

samtogo

Tron 发表于 2011-10-20 17:45
云QVM KILL，目前此类样本360云主防主要通过云QVM消灭～

没,我拿到这个样本的时候云还干不掉...我马上上报转人工了...360主防还是很强悍的..我一看全过赶紧上报额....- -

samtogo

Tron 发表于 2011-10-20 19:24
木马截获密码过程中，置顶的窗口一直就是QQ，多学点知识吧，不要总想当然

既然达人在这..偷偷告诉你...我这个样本是从QQ475232322这里获取的...已经获得两次...但是不懂是不是被盗号的...- -

zhq445078388

jefffire 发表于 2011-10-20 21:11
木有反应。权限我降低了。加权限主要是为了让飘先测试一下。

毒组的就是棒

zhq445078388

jefffire 发表于 2011-10-20 21:33
受不了LS了

从微点的角度 主防也是监控的一种
他是微点迷

zhq445078388

Tron 发表于 2011-10-20 21:35
我不是说了，举个例子，比如输个帐户密码就能中大奖，这种很多。你哪个HIPS防下？

即便是结束QQ，方 ...

向目标内存写
mov edx 0
能起到杀进程的作用不？

hips能报警结束进程吗？
我看好多都是报警修改其他进程内存