简简单单反火眼，让程序在火眼上没有行为出现的小测试

BootMgr

反金山火眼太容易了。。。

我这里随便提供九种最简单、最基础的傻瓜级方法，只需要小学生编程水平，几行代码就能搞定的方法：



(1).CD-KEY法：

金山火眼的XP系统使用的是盗版的上海政府版的Windows XP OEM激活KEY

（把盗版的XP放出来做在线服务，不知道举报给微软要罚多少钱啊～～）

这个CD-KEY是MRX3F-47B9T-2487J-KWKMF-RPWBY

读注册表判断一下CD-KEY就反金山火眼了～，当然这会干掉国内一批使用同样盗版CD-KEY的机器～不过别急，方法还有很多嘛


(2).机器名法：

金山火眼的系统机器名都是统一的KS-XXXX名字，基本上命名规律是KS-FBC26CA483XX(我看到有837X的，保险起见可以少判断几个）

用GetComputerName判断一下就反金山火眼了，一行代码搞定，非常准确～



(3).文件特征法：

金山火眼的测试环境现在有几个非常明显的文件标志：

在c盘有一个totalcmd目录

在C盘会有一个file.u2 和sign.u2文件

在C盘有一个名为 V 的文件夹
用GetFileAttributes判断一下，一行代码搞定，非常准确～



(4).运行路径法：

病毒运行的路径 是c:\vir\xxx.exe  (xxx.exe为病毒原始名字）

用GetModuleFileName判断一下是否在c:\vir运行，一行代码搞定


(5).进程特征判断法

金山火眼系统里运行着特征进程

例如HookControllerR3.exe，判断一下此进程就可以反火眼了

(6).驱动模块判断法金山火眼的系统驱动列表里存在xtools.sys和kxmon.sys ，应该就是火眼的监控和功能驱动了，简单地通过NtQuerySystemInformation就能枚举并反金山火眼

(7).注入DLL模块法
金山火眼会向待测进程注入一个DLL: umon.dll ，因此通过GetModuleHandle("umon.dll") ， 一行代码就可以反金山火眼

(8).符号链接法
金山火眼的驱动会建立一个名为“HY::ActMon”的 符号链接， 因此简单地通过 CreateFile "\\.\HY::ActMon“， 一行代码就可以反金山火眼

(9).VMWARE硬件特征法
其实金山火眼是基于 VMWARE的，VMWARE是公开的，可检测的特征也很多，比如现在金山火眼系统的驱动列表中有vmscsi.sys ，  硬盘和光盘驱动器的设备名里有VMWARE IDE的硬件标识等等，很多

除了硬件特征法，检测VMWARE，这里方法就非常多了，金山火眼虽然启用了VT(闭掉了redpill等方法），并且关闭了vmware.backdoor，但是只能防几年前早就公开的老掉牙方法，稍微变换一下其它方法就能别检测 出来了

吐槽一下，线上沙盘好歹用自己写的VM啊，直接就用VMWARE做在线沙盘的公司你伤不起啊～



当然，金山看到我的帖子后肯定会修改，上面说的方法可能都不管用了，不过其他的判断方法还是有很多很多的啦～

这里只是举出最简单的、最傻瓜的，只要几行代码，小白也能想到的技巧。

其他的稍微中级一点的，我就不透露那么多了

公正妹

BootMgr 发表于 2012-8-22 16:45
反金山火眼太容易了。。。

我这里随便提供几个最简单、最基础的傻瓜级方法，只需要小学生编程水平，几行 ...

牛。
为了保障金山火上眼的安全，此帖不久会被封，哈哈

怎么样了

BootMgr 发表于 2012-8-22 16:45
反金山火眼太容易了。。。

我这里随便提供几个最简单、最基础的傻瓜级方法，只需要小学生编程水平，几行 ...

估计会马上修改那个CD-KEY

BootMgr

怎么样了 发表于 2012-8-22 16:54
估计会马上修改那个CD-KEY

先去删C盘下的Total Commander吧～ 我估计那个也是用的绿色盗版的版本

BootMgr

没什么人回啊～我再提供一个， 金山火眼环境里运行着一个 叫 HookControllerR3.exe的进程，判断一下就反金山火眼了～

╭ァの修罗

BootMgr 发表于 2012-8-22 17:26
没什么人回啊～我再提供一个， 金山火眼环境里运行着一个 叫 HookControllerR3.exe的进程，判断一下就反金山 ...

里面还模拟运行着360sd，记事本改的

怎么样了

BootMgr 发表于 2012-8-22 17:26
没什么人回啊～我再提供一个， 金山火眼环境里运行着一个 叫 HookControllerR3.exe的进程，判断一下就反金山 ...

反不反的其实无所谓 ,     真反假反更无所谓

关键是那个CD-KEY.       乃可能吓着人家了

得先想想对策吧  

不知道这是剑

怎么样了 发表于 2012-8-22 17:53
反不反的其实无所谓 ,     真反假反更无所谓

关键是那个CD-KEY.       乃可能吓着人家了

不知道到时候微软发现了，会不会下重手？

黑羽

BootMgr 发表于 2012-8-22 17:26
没什么人回啊～我再提供一个， 金山火眼环境里运行着一个 叫 HookControllerR3.exe的进程，判断一下就反金山 ...

MJ叔叔，卖萌是不对的

羊伤心

围观。。。。。。。。。。。。。。。。。