免杀病毒过卡7高启发扫描+主动防御

浪滔天

运行了两遍卡巴都没反应，但除了生成一个删除自身的 bat 文件，啥也没做成，要卡巴有反应有点免为其难啊。

wuandy

原帖由 okokok 于 2007-10-11 18:16 发表
再怎么加强也没用，如果要针对它，总能找出其弱点
任何软件，总能找出其漏洞
没有完美的东西
何况区区一个杀毒软件，国内外银行政府等机构网络系统不都有被攻击被攻入的事件发生么，怎么保护？怎么防御？
某人花 ...

说得非常好 ,除非卡巴没D版了 哈哈 我一直用下去

xqiafl

俺也测试过主动防御对viking的效果，结果还是在windows下成功运行，并感染所有exe，对worm的防御能力卡巴还需要加强。

另，如果是免杀鸽子注册服务，启动为开机自动运行（当前状态下不运行），则主动防御也没有报，鸽子成功上线。。。。

还好的是，卡巴的反应速度快，相信V8以后会更强。

你是不是设置有问题,哦!  在装了卡巴机子上, 鸽子根本不可能成功运行.

第一个不敢说, 但第二个,鸽子,绝对百分百拦截!  

我用的是卡7KIS~

xqiafl

刚刚运行了下这个病毒!!

使用加密壳压缩做的免杀.  

运行后, 直接调用CMD 来删除自身, 本人怀疑, 这个程序,由于使用强加密压缩

而导致, 这个木马根本没成功运行. 就只运行了,删除自身!

运行完后,卡巴确实没反应,  不过, 是木马都要注入, 对于国人的木马,卡巴7.0不可能拦不住注入.

假设,真的拦不住, 我运行完了, 使用了"安全分析专家" 对系统做了下分析.

没发现,什么东西,  用ICESWORD, 查了下C盘, WINDOWS, SYSTEM32 这两个目录

新建的文件, 或修改的文件,都没发现.   查看了下,其它盘,有无U盘感染, 也没发现.
由于卡巴报下载者, 那要是运行成功, 防火墙,总该要报下子吧!  也没反应!

怀疑文件被感染??? 已经用卡巴,对部分文件扫描过了, 并没发现感染! 由于这个木马,已经被卡巴查杀.
所以,如果电脑文件被感染,那么,卡巴肯定会报警的!

所以,本人怀疑, 此木马,由于不合理的强加密的原因, 已导至木马自身挂掉!
这种事情很正常, 由于,卡巴太强,  有时,不得不使用强壳,对木马进行强加密.
一般,这种软件加密, 程序都会比之前大一倍.  只能加密一次. 否则,就运行不了!

如果,这个木马根本就无法成功运行,就会有,过卡巴主动的这一效果了!

[ 本帖最后由 xqiafl 于 2007-10-12 22:56 编辑 ]

rowanshark

晕，你们还真的试啊？

hhy85627

没啊~我的KIS发现了啊~

love求求

你自己可以试下，很多木马之所以被主动防御拦截，报的是开机自动运行占多数。如果你先用bat注册免杀鸽子的服务为开机自动运行，你再重启试试，你会发现鸽子会作为正常的程序自动加载，而卡巴的主防是没有反应的，这个方法曾经在网上用过多次来绕开主动防御的其中一种。

wei000

哈哈..好多不懂行的...

过咔吧很正常...

黑客常说不过咔吧和瑞星就不用玩木马了...

xqiafl

你自己可以试下，很多木马之所以被主动防御拦截，报的是开机自动运行占多数。如果你先用bat注册免杀鸽子的服务为开机自动运行，你再重启试试，你会发现鸽子会作为正常的程序自动加载，而卡巴的主防是没有反应的，这个方法曾经在网上用过多次来绕开主动防御的其中一种。

哦!!  那我先学习了.   先还要运行BAT. 在注册表中注册为服务.

然后,才是运行鸽子.   这个BAT 里面是什么东西???  先运行BAT, 再运行鸽子.

鸽子,调用系统进程时.  卡巴没报???   我用的卡7KIS.

不过,我已经限制CMD.WSCRIPT 两个程序的动行了.

LZ 那个程序, 根本就没运行成功. 所以才会过卡巴主动!

我运行过了. 就是调用CMD删除自身. 除此之外, 什么都没做!

卡7 不可能被绕过的.   我听到的就是注册表被绕过了.

不过, 在下个7.0版本中,会更新这些问题.  

并非所有程序都报开机自动运行的.  你可以详细看看卡巴. 一般,是先报注入.  再报注册表.
或者先报注册表,再报注入的.   对于鸽子.  它注册表绕过了. 但它要调用程序啊!
这个过程. 卡巴不报吗?  说实话. 我很难相信!

你最好,发个样本过来!   我只想信事实! 到时,我运行下子. 当然了,

远程,肯定是不可能上线的.  因为,本人,一年前就不玩鸽子了.

卡巴防火墙规则, 本人已经根据自身的黑客经验. 自定义设置成,最强模式.

所以, 基本上,可保护,运行鸽子,对方不上线. 这个效果. 下载者,运行也要保证不下载病毒!

当然,除了远程端口设成80外. 这种情况,不好做限制, 当然. 也在考虑之中了. 手动,就可以很容易分析出
来!  其它的, 根本没任何实质性问题!   防黑: 我可是专业水平!

[ 本帖最后由 xqiafl 于 2007-10-15 13:19 编辑 ]

xqiafl

哈哈..好多不懂行的...

过咔吧很正常...

黑客常说不过咔吧和瑞星就不用玩木马了...

你的无知,让我感到悲唉!!  我上面的分析已经说的很明白了.

这个木马,根本没运行成功.  你是不是没听懂啊!  

   那个不过卡巴不玩木马了??   这种话,只多在卡六里面有可能的.

在卡7里面, 特别是卡7KIS面前. 根本就是在放屁.

虽然,卡7  在很多方面,是可以绕过.  但真正要是想利用, 那不是一点的难!