楼主: yjwfdc
收起左侧

[分享] 突破360主防和金山k+成功盗取qq密码.大家看看那一个主防能防.

  [复制链接]
ujty
发表于 2011-10-24 16:37:22 | 显示全部楼层
yjwfdc 发表于 2011-10-20 17:51
金山k+也杀,

这类样本如果成功免杀这两家的云,也就成功了.

过主流者过天下,很大程度上是对的。
zhq445078388
发表于 2011-10-24 16:41:24 | 显示全部楼层
Tron 发表于 2011-10-24 16:36
nprotect,通过底层挂钩抢先获得键盘输入,再加密后传输给客户端程序,基本可以杜绝这种伪装型,缺点是需 ...

意思是说 驱动先挂键盘 然后获取键盘输入
直接通过管道或者回环地址把加密的数据传送到指定客户端
然后客户端读取这个 再登陆
是这意思吗?
只是这样的话 qq虽然登陆成功了。。那个小编辑框?。。难道收不到信息吗?
我感觉。。。毕竟qq的登录框已经失去焦点了 除非那东西是qq的登陆界面没关 就所有输入强制进qq  不然还是不行啊
Tron
头像被屏蔽
发表于 2011-10-24 16:52:26 | 显示全部楼层
zhq445078388 发表于 2011-10-24 16:41
意思是说 驱动先挂键盘 然后获取键盘输入
直接通过管道或者回环地址把加密的数据传送到指定客户端
然后 ...

编辑框收到的是被驱动改掉的键盘数据,真实的数据已经加密送给QQ了。
久远寺有珠
发表于 2011-10-24 16:55:04 | 显示全部楼层
在沙盘里面里面跑QQ
zhq445078388
发表于 2011-10-24 17:00:26 | 显示全部楼层
Tron 发表于 2011-10-24 16:52
编辑框收到的是被驱动改掉的键盘数据,真实的数据已经加密送给QQ了。

嗷嗷 意思是说 那个安全模块的驱动把键代码改掉了发过去了
真正的 通过加密 送到客户端 是吧是这个意思吧
samtogo
发表于 2011-10-26 14:36:47 | 显示全部楼层
Tron 发表于 2011-10-20 17:45
云QVM KILL,目前此类样本360云主防主要通过云QVM消灭~

没,我拿到这个样本的时候云还干不掉...我马上上报转人工了...360主防还是很强悍的..我一看全过赶紧上报额....- -
samtogo
发表于 2011-10-26 14:55:03 | 显示全部楼层
Tron 发表于 2011-10-20 19:24
木马截获密码过程中,置顶的窗口一直就是QQ,多学点知识吧,不要总想当然

既然达人在这..偷偷告诉你...我这个样本是从QQ475232322这里获取的...已经获得两次...但是不懂是不是被盗号的...- -
zhq445078388
发表于 2011-10-26 15:13:46 | 显示全部楼层
jefffire 发表于 2011-10-20 21:11
木有反应。权限我降低了。加权限主要是为了让飘先测试一下。

毒组的就是棒
zhq445078388
发表于 2011-10-26 15:15:16 | 显示全部楼层
jefffire 发表于 2011-10-20 21:33
受不了LS了

从微点的角度 主防也是监控的一种
他是微点迷
zhq445078388
发表于 2011-10-26 15:17:11 | 显示全部楼层
Tron 发表于 2011-10-20 21:35
我不是说了,举个例子,比如输个帐户密码就能中大奖,这种很多。你哪个HIPS防下?

即便是结束QQ,方 ...

向目标内存写
mov edx 0
能起到杀进程的作用不?

hips能报警结束进程吗?
我看好多都是报警修改其他进程内存
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:56 , Processed in 0.098373 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表