360你好悲剧，我也好悲剧

kfd35

Genes 发表于 2014-1-4 20:43
@myzuzong @ peter08  ，呵呵。看来俺上当了。。。
在我的虚拟机里试过，注入explorer.exe有的会有 ...

傀儡进程确实是注入，但是注入成功了又不能过360的主防，除非360有规则错误。不像注入系统进程，注入成功就可以干事了。傀儡进程似乎只能过系统防火墙。。没什么意思。

Genes

kfd35 发表于 2014-1-5 14:14
傀儡进程确实是注入，但是注入成功了又不能过360的主防，除非360有规则错误。不像注入系统进程，注入成 ...

  真心不想说了。。。好吧，你赢了。。我继续搞我的远控，你继续往system idle里xss吧(恩，这个简单点)。

kfd35

Genes 发表于 2014-1-5 20:00
真心不想说了。。。好吧，你赢了。。我继续搞我的远控，你继续往system idle里xss吧(恩，这个简单 ...

说不过就不说了？难道弄个傀儡进程可以过360主防写启动项之类的吗？明显不可以吧。。顶多只能过windows防火墙

补充更正下，傀儡进程在任务管理器的话确实可以骗到人。

我说不能注入的意思就是说，你一个远控不能通过注入过主防过360的防御点，就是这个意思。所以那人说什么：说不定木马注入锁屏释放衍生物里并不可怕嘛。
而且1楼那个样本确实在任务管理器面前看的见，所以没用嘛。我没有说有的样本不能在任务管理器面前看bu见。

你非要想过360注入进程写启动项，方法也有啊，你自己研究去吧。

peter08

kfd35 发表于 2014-1-5 20:18
说不过就不说了？难道弄个傀儡进程可以过360主防写启动项之类的吗？明显不可以吧。。顶多只能过windows ...

呵呵，第一句话说的不对哦。

kfd35

peter08 发表于 2014-1-6 08:32
呵呵，第一句话说的不对哦。

不是吧，傀儡进程难道不是继承创建他的父进程的规则吗?看来我之前又说错话了。求解释。

低调丶

kfd35 发表于 2014-1-1 10:50
幼儿园小孩，别装x了。过360根本不需要傀儡进程，只需要sql注入system idle process就行了。一般人我不告 ...

我刚看到 你被举报了

Genes

kfd35 发表于 2014-1-5 20:18
说不过就不说了？难道弄个傀儡进程可以过360主防写启动项之类的吗？明显不可以吧。。顶多只能过windows ...

      不想说不是说不过，说了又能怎样，你到现在都不知道你在说啥了，主要是你扯的太远了。
      首先，你说的是    有360在，样本什么注入，创建傀儡进程都不行的   这是你的观点。我仅仅是反驳你？ 360不是万能的，我有我的方法可以过，什么window防火墙，访问80端口，防火墙能干嘛，这样的说法你明白不？
      第二，写启动项，方法确实有，我给你总结下，直接写启动目录，直接写启动相关的注册表，创建自启动服务，这三项是最简单的也是直接就被数字拦截的。这些都是在这个样本区有的，通过白加黑的各种猥琐自启动的，link漏洞，pdf，word漏洞实现自启动，感染系统文件实现自启动，鬼影病毒以及宝马病毒实现的感染mbr，甚至感染bios实现病毒的自启动。这是随便想到的，其实想过360，只要能多猥琐，方法就会有的。
      第三，可能你把我看错当成 SUNKESS  说什么sql注入了。这个也没啥好说的误会就误会。
      第四，你说这个样本了，那就说说这个样本，你要是逆一下你就知道了，这个样本独特的一点就是它的服务端地址不是用3322域名或者ftp或者服务器上传的地址，它的地址是发qq微博得到的，其实也简单就是访问自己的微薄，通过遍历返回的内容得到服务端地址。这方法早就有了，曾经还见过直接从qq说说里得到动态ip。其他的就是这个样本借助之前的那些样本（vm001，还有小柯发得），可能是同一个远控作者，老方法，通过shellcode，reload 主病毒dll，确实，这个病毒主代码是一个dll。。没怎么调试，其他的设置如自启动，它是替换系统的服务，这个360不知道有提示没，以上直接看的字符串猜的这些。 这个附件是我dump出来的，这个远控算挺基础的吧，想深入研究的可以看看 ，没有vm，没有反调试，已经很不错了，想在kanxue上混个精华，可以分析分析。

kfd35

Genes 发表于 2014-1-6 19:46
不想说不是说不过，说了又能怎样，你到现在都不知道你在说啥了，主要是你扯的太远了。
      首先 ...

我当然知道360不是所有注入都拦截了，但是你说的这个先创建进程再注入不拦截我真的不知道啊。你有bin吗。网上搜到的编译出来出错啊，搞不懂怎么回事。。而且你说可以，所以我就退一步想，觉得先创建一个进程再注入应该不影响360的防御嘛。

过数字启动的方法的话，你有好多的话。。你可以给360提交啊，一个1000多块钱呢。

你说的第四个，不光远控了，我记得N年前那个桌面雪花就是那么干的。我也是看字符串猜的

Genes

kfd35 发表于 2014-1-6 20:40
我当然知道360不是所有注入都拦截了，但是你说的这个先创建进程再注入不拦截我真的不知道啊。你有bin吗。 ...

恩，以前那个桌面雪花确实不错，分析它的确实眼前一亮。不过它是用发的博客来的得到的ip的，印象深的就是那货统计被感染系统的反病毒软件，然后向cnzz发个访问连接，估计是在做统计。那些博客内容是加密的比这强多了，这个尼玛赤裸裸一个ip。它们利用的shellcode差不多一样，都是一个地方复制的。这样的方法多的去了，咱这的卡饭样本区，白加黑的样本几乎都是用的这样方法，
360的防御，它会在启动的时候拦截，但是等你到内存里面了，再展自己的病毒代码，它会在在内存中扫描到吗。貌似这也是大家都知道了。。不要网上的那些代码，这个样本就不错了，你把它逆了，然后自己写个，就知道影响不影响主防了。

kfd35

Genes 发表于 2014-1-6 21:53
恩，以前那个桌面雪花确实不错，分析它的确实眼前一亮。不过它是用发的博客来的得到的ip的，印象深的就是 ...

没看懂你的最后一段。启动时候拦截什么意思哦。。
hips不都是继承父进程规则的么，你a.exe创建一个iexplore.exe进程，再把病毒代码放到iexplore里面，让iexpore写启动不还是要拦截吗？你的意思是360完全信任某些进程还是什么意思。。。

我不懂编程，也不会逆向，你让我逆那个远控，只能拿od看看字符串猜猜大概了。。。。