原创:鸽子过卡巴主动全开(不摧毁,不改时间) 录象!

cici584522

不知道为什么..装了卡巴后..很多加了多重壳的程序就出现运行错误...

你拿无壳版的鸽子就可以运行了.呵呵  还有.这个办法和CMD没关系

xqiafl

不是!  我是说, BAT 文件放在启动文件夹里. 以前,可以提前运行.

  现在不行了.  要等卡巴启动了. 再能运行.    现在的鸽子都不怎么相信!

  算了吧!!   无所谓了..   我装卡巴, 就没打算运行鸽子.

浪滔天

我想楼主的意思是做一个免杀（过特征码或启发）的插正常进程、使用正常端口的鸽子，可以把这个鸽子伪装成一个正常的安装程序，运行后添加到启动目录，但并不马上运行（因为一运行杀软的主防就会发现），等计算机重新启动后这个木马会被自动启动。前提是这个木马的启动速度必须快，要在杀软启动前就完成动作（对于转搞木马病毒的来说做到这点应该不难）。
由于是免杀的，扫描不会被发现，由于不在杀软工作的时候运行和没有木马特有的一些行为动作，主动防御就不会发现，重新启动计算机后木马先于杀软启动前完成动作，杀软就监控不到这些动作，无法做出反应，而木马插入了正常的进程和使用了该进程的正常端口，防火墙就不会进行阻拦或提示，这样就等于把杀软打回到了2年前的技术水平，避实就虚、四两拨千斤，看来杀毒厂商又该忙活了，不少人得遭殃。。。。

cici584522

不知道有没有办法用批处理把木马加进组策略的登陆启动里面

cici584522

原帖由 浪滔天 于 2007-11-11 10:40 发表
我想楼主的意思是做一个免杀（过特征码或启发）的插正常进程、使用正常端口的鸽子，可以把这个鸽子伪装成一个正常的安装程序，运行后添加到启动目录，但并不马上运行（因为一运行杀软的主防就会发现），等计算机重新 ...

分析完全正确...没有失误...可惜我没这语言组织能力......  补充一点..过KIS的时候..鸽子默认端口8000不行..看了KIS的协议后...发现几个常用的IE端口不会被拦截 80 / 8080  等等   所以我把鸽子设置为插IE进程.用8080端口

再着..还是有一个释放的过程..因为要释放到启动目录...这就要靠RAR自解压缩了...不过卡巴是不会拦截RAR行为的

[ 本帖最后由 cici584522 于 2007-11-11 10:47 编辑 ]

cici584522

正如你说的 "避实就虚、四两拨千斤"..不需要什么麻烦的批处理以及第3方屏蔽杀软程序....

胜过那些用批处理改系统时间的办法百倍..

[ 本帖最后由 cici584522 于 2007-11-11 10:50 编辑 ]

浪滔天

原帖由 cici584522 于 2007-11-11 10:43 发表



分析完全正确...没有失误...可惜我没这语言组织能力......  补充一点..过KIS的时候..鸽子默认端口8000不行..看了KIS的协议后...发现几个常用的IE端口不会被拦截 80 / 8080  等等   所以我把鸽子设置为插IE进程 ...

说插正常进程和正常端口，鸽子的8000端口不能算是正常端口（所有木马用过的端口都不能算正常端口），呵呵~
如果做成一个正常的安装程序的样子，在启动目录里添加快捷方式是不是杀软就不会有反应呢？

[ 本帖最后由 浪滔天 于 2007-11-11 10:53 编辑 ]

cici584522

现在的关键问题是...释放到启动目录毕竟隐蔽性大打折扣...我还在跟别人一起研究解决办法... 使鱼与熊掌兼得

浪滔天

原帖由 cici584522 于 2007-11-11 10:53 发表
现在的关键问题是...释放到启动目录毕竟隐蔽性大打折扣...我还在跟别人一起研究解决办法... 使鱼与熊掌兼得

就这样也够人喝一壶的了，不少人得遭殃。。。。。。。
好多人连主动防御的提示都觉得烦，一关了事。

[ 本帖最后由 浪滔天 于 2007-11-11 10:59 编辑 ]

wolfmennn

  就算他能过KAV但是怎么把客户端远程弄进去的不是被杀了吗？还是不明白！