从注册表里面灭掉卡巴

372826096

[黑客守卫者]  发表于2007-08-01 21:56

由于可以随心所欲的操控注册表
受xyzreg启发，所以可以考虑从注册表里面灭掉卡巴
但是，突破主动防御不能破坏杀毒软件。
改时间、模拟点击，卡巴出错，系统巨卡。垃圾方法就不说了
恢复SSDT，需要驱动的玩意，一般的玩意用不着
研究了一个晚上，得出点成果，哈哈。给卡巴添加规则，放过我们的玩意
卡巴，KIS6的重要注册表键值
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\profiles\ProcMon\settings\aItems\0000]----主键位置
"bEnabled"=dword:00000001----不用理他
"sImagePath"="C:\\木马2005.exe"----程序位置
"nHost"=dword:00000000----不用理他
"nPort"=dword:00000000----不用理他
"nTriggers"=dword:00000033----这个很重要，后面重点说，卡巴参数
"Hash"=hex:f3,8e,ac,60,34,13,ca,3b----程序HASH码
突破的思路是这样的
首先备份
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\profiles\ProcMon\settings\aItems
下的所有键值，保存为tmp1.reg
然后为主键下添加一个项，写入上面所示的注册表内容
其中程序位置需要自己获取
程序HASH码用卡巴添加一次可得
nTriggers是程序规则，写33就是允许程序干任何动作（注入进程，写注册表，改文件都可以）
添加完规则后，启动相应程序。待相应程序执行完了所有动作（比如注入IE等），再将原先备份的tmp1.reg恢复即可。
这样注册表既不会留下任何痕迹，注册表监视程序也捕获不到任何改动
但我们的程序却成功执行了一系列OOXX的动作，爽吧？

[ 本帖最后由 wangjay1980 于 2007-8-27 15:00 编辑 ]

wangjay1980

估计对卡7不行

372826096

不喜欢帖子被人随便改

wangjay1980

你的原题目不太合适，所以进行改动，为了让大家看的更明白。

eubyo

原帖由 372826096 于 2007-8-27 14:06 发表
[黑客守卫者]  发表于2007-08-01 21:56

由于可以随心所欲的操控注册表
受xyzreg启发，所以可以考虑从注册表里面灭掉卡巴
但是，突破主动防御不能破坏杀毒软件。
改时间、模拟点击，卡巴出错，系统巨卡。垃圾方法就不说了
恢复SSDT，需要驱动的玩意，一般的玩意用不着
研究了一个晚上，得出点成果，哈哈。给卡巴添加规则，放过我们的玩意
卡巴，KIS6的重要注册表键值
[HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\profiles\ProcMon\settings\aItems\0000]----主键位置
"bEnabled"=dword:00000001----不用理他
"sImagePath"="C:\\木马2005.exe"----程序位置
"nHost"=dword:00000000----不用理他
"nPort"=dword:00000000----不用理他
"nTriggers"=dword:00000033----这个很重要，后面重点说，卡巴参数
"Hash"=hex:f3,8e,ac,60,34,13,ca,3b----程序HASH码
突破的思路是这样的
首先备份
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\AVP6\profiles\ProcMon\settings\aItems
下的所有键值，保存为tmp1.reg
然后为主键下添加一个项，写入上面所示的注册表内容
其中程序位置需要自己获取
程序HASH码用卡巴添加一次可得
nTriggers是程序规则，写33就是允许程序干任何动作（注入进程，写注册表，改文件都可以）
添加完规则后，启动相应程序。待相应程序执行完了所有动作（比如注入IE等），再将原先备份的tmp1.reg恢复即可。
这样注册表既不会留下任何痕迹，注册表监视程序也捕获不到任何改动
但我们的程序却成功执行了一系列OOXX的动作，爽吧？

仅仅从lz的文字描述可以得出一个结论，lz的想法要落空了。

小小龙

KIS7的主动防御。。。除非你把主动防御（包括注册表防御）都关了，KABA的自我防护也关了。。。试试也许行。黑客不知道你密码的话，也关不了这些呀

听雨醉

应该说，这篇文章对卡巴的有关键值做了一些研究，不过称不上深入研究。
文章所述的键值，是卡巴的排除列表(卡6里的信任区域)。卡6与卡7略微不同，不过只是主键。

“破解”思路非常正确，用卡巴自己的矛来击自己的盾——将卡巴的排除列表里的注册表键值导出来，然后添加上病毒程序的路径和哈希值，最后再导进去。从而实现卡巴放过病毒程序的目的。
（PS：这招确实很阴，比起修改系统时间、模拟点击等等的常用伎俩来说，这招即简单又实惠！因为卡巴对排除列表中的对象是即不监控又不查杀的！）

不过，对于此方法，我亲自测试了一下：
卡巴版本：7.0.0.125繁体中文版(自己搞的汉化)
卡巴病毒库：最新
操作系统：winxpsp2

测试结果：
即使关掉卡巴的注册表防护，但只要开启了卡巴的自我保护，那么所有有关卡巴的注册表键你都无法撼动。不信你修改一支键或导入事先改好的reg试试，看能否成功？

sharkkong

呵呵卡巴斯基实验室也不是傻子啊，他们一定也做过测试的，这些小漏洞会在版本更新后弥补的。呵呵支持卡吧

eubyo

原帖由 听雨醉 于 2007-8-28 08:45 发表
应该说，这篇文章对卡巴的有关键值做了一些研究，不过称不上深入研究。
文章所述的键值，是卡巴的排除列表(卡6里的信任区域)。卡6与卡7略微不同，不过只是主键。

“破解”思路非常正确，用卡巴自己的矛来击自己的盾——将卡巴的排除列表里的注册表键值导出来，然后添加上病毒程序的路径和哈希值，最后再导进去。从而实现卡巴放过病毒程序的目的。
（PS：这招确实很阴，比起修改系统时间、模拟点击等等的常用伎俩来说，这招即简单又实惠！因为卡巴对排除列表中的对象是即不监控又不查杀的！）

不过，对于此方法，我亲自测试了一下：
卡巴版本：7.0.0.125繁体中文版(自己搞的汉化)
卡巴病毒库：最新
操作系统：winxpsp2

测试结果：
即使关掉卡巴的注册表防护，但只要开启了卡巴的自我保护，那么所有有关卡巴的注册表键你都无法撼动。不信你修改一支键或导入事先改好的reg试试，看能否成功？

你离成功不远了，因为你发现了卡巴的注册表键是由卡巴的自我保护来保护的，而不是卡巴的RD，但是用reg文件是没有用的。提醒一下，要用hiv文件，也就是说应该导出hiv文件

听雨醉

多谢你的提醒，又继续测试了下。

用reg restore可以将hiv文件写回注册表，并且可以成功绕过卡巴的自我保护。不过遗憾的是，这却引起了卡巴主动防御里程序活动性分析的警觉。默认情况下，卡巴虽没有启动注册表防护，但却启用了程序活动性分析。