查看: 7666|回复: 30
收起左侧

[砖头] 技(yu)术(le)贴:围绕一个启动文件夹疯狂绕过360防御

 关闭 [复制链接]
kfpe23
头像被屏蔽
发表于 2015-7-5 13:39:36 | 显示全部楼层 |阅读模式
本帖最后由 七宝 于 2015-7-19 10:30 编辑

如果说叔上次那个还算是半个技术贴的,这次就算是娱乐帖了。毫无技术含量,通篇讨论文件夹,注册表。。。

一年前,叔为了消磨时间,用everything搜“startup”。搜到自己的64位win7上有几个启动文件夹。例如:C:\users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

我挨个试了下写启动,发现360不拦截写default用户文件夹。
C:\users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
XP下是另一个类似的位置。
我心想这不是操蛋么,我新建个账户,设置为自动登录,让default里面那个复制过去,不就可以启动了么,我再把当前账户的桌面文档等也放到default文件夹,通过default文件夹复制到新账户过去,很逼真不是。。。

于是我跟360的人说了,人家说“这种攻击方式不行,新建账户已经拦截了。(那阵子流行敲竹杠木马。。。)”
我虚拟机一试,果然360在32位下果然拦截了,而且拦的很彻底,把我搜到的偏门的都拦截了,企鹅金山都没拦。
可是,再一试,直接写sam注册表不拦截(好吧,360你怎么想的。。)
但是这个方法有一点不好,创建的是普通账户,不是管理员的。那是不是普通账户就不实用呢?
其实不是,管理员账户下就可以把普通账户的安全机制破坏掉,比如允许普通账户随便写文件注册表。所以这个方法也是可行的,就是繁琐了点,不太好。
这是方法1了,好像现在360拦截写sam注册表了。。

然后我再想还有没有办法了呢。不一定要新建账户,只需要让当前账户的工作目录失效,从而让系统重建一个当前账户的工作目录,这样文件就从default那里复制过来了。那怎么做才能失效呢?最简单的方法就是把ntuser.dat删掉,于是我就用PendingFileRenameOperations延迟删除什么的,让ntuser.dat重启删除。试了,有效。
这是方法2了。

后来360升级拦截了,我就试试还有没有别的方法让当前工作目录失效,好像是试出两种吧,可惜睡了一觉后只记得一种方法了。就是改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
改一下ProfileImagePath就可以把当前账户的工作目录换成任意的。这就不需要default文件夹了。
这是方法3了。方法2和3貌似360后来防了。

然后昨天晚上又试了下这个,还有一种方法。注册表里不是有个User Shell Folders么?里面有个Common Startup
值是%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
(XP是另一个变量名)
所以我添加一个系统环境变量 把ProgramData定义为我自己的路径(360居然不管系统变量),OK了。
这个算是方法4了,360现在还不拦。

还有没有别的方法了呢,如果是以启动文件夹为“中心思想”的,我还没发现。

总之,我发这贴什么意思呢。说点自己的看法。
1.管理员下能做的事太多了。像我这种外行搞不了进程,搞文件,注册表也是够玩的。对真正的高手来说,给点时间找百十个绕过估计就跟玩一样。。。
2.360钩子再强大,规则上也不会面面俱到。所以从规则上找绕过点是简单了很多的。当然了,360如果把整个hklm\system,xxx\Microsoft\Windows NT都加入规则,罩住他,个别键值加入排除。那么估计可以堵住上百个坑的。
3.不是说360不好,随便就被日了什么的。对于360写启动需要点技巧,其他家直接写就行了。。。

顺便多嘴骂下360新版本界面,还真是日了狗了。。绿绿的一点都不好看,跟杀毒也很像了,没特色,加速球和清理完全抄袭毒霸。各个功能入口也找不到,肄业小学生设计的吧。尤其是沙箱,我找了半天都找不到
wjy19800315
发表于 2015-7-5 15:03:07 | 显示全部楼层
仔细看完了
很不错
1518589226
发表于 2015-7-5 15:21:49 | 显示全部楼层
我居然看完了
ddxuchen
发表于 2015-7-5 15:34:27 | 显示全部楼层
看来楼主对360才是真爱啊
我是隔壁的小号
发表于 2015-7-5 16:06:54 | 显示全部楼层
我就看看,我不说话。
@东夷少女 @有妖气
kfpe23
头像被屏蔽
 楼主| 发表于 2015-7-5 16:14:00 来自手机 | 显示全部楼层
ddxuchen 发表于 2015-7-5 15:34
看来楼主对360才是真爱啊

何以见得。我不喜欢360
的。只是喜欢找茬喷罢

pal家族
发表于 2015-7-5 16:25:22 | 显示全部楼层
360钩子再强大,规则上也不会面面俱到。


唉,这就是我一直偏爱智能主防的原因啊。
ddxuchen
发表于 2015-7-5 17:00:58 | 显示全部楼层
本帖最后由 ddxuchen 于 2015-7-5 17:02 编辑
kfpe23 发表于 2015-7-5 16:14
何以见得。我不喜欢360
的。只是喜欢找茬喷罢


喜欢找茬,就是在不停的找漏洞,只有这样360才会不断的完善,这是某种意义上的真爱啊。
实质性的作为,要比脑残粉靠谱多了。

P.S. 新版360的界面我也要吐槽一下,搞成这样真的好么=_=
vm001
发表于 2015-7-5 17:34:21 | 显示全部楼层
XP下也有2处直接写启动文件没防御的,只不过还没发现有木马这么干过..
kfpe23
头像被屏蔽
 楼主| 发表于 2015-7-5 17:44:44 来自手机 | 显示全部楼层
ddxuchen 发表于 2015-7-5 17:00
喜欢找茬,就是在不停的找漏洞,只有这样360才会不断的完善,这是某种意义上的真爱啊。
实质性的作为 ...

你真是君子度小人之腹啊
...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:35 , Processed in 0.139823 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表