技(yu)术(le)贴：围绕一个启动文件夹疯狂绕过360防御

显示全部楼层 · 发表于 2015-7-5 13:39:36

本帖最后由七宝于 2015-7-19 10:30 编辑

如果说叔上次那个还算是半个技术贴的，这次就算是娱乐帖了。毫无技术含量，通篇讨论文件夹，注册表。。。

一年前，叔为了消磨时间，用everything搜“startup”。搜到自己的64位win7上有几个启动文件夹。例如：C:\users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

我挨个试了下写启动，发现360不拦截写default用户文件夹。
C:\users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
XP下是另一个类似的位置。
我心想这不是操蛋么，我新建个账户，设置为自动登录，让default里面那个复制过去，不就可以启动了么，我再把当前账户的桌面文档等也放到default文件夹，通过default文件夹复制到新账户过去，很逼真不是。。。

于是我跟360的人说了，人家说“这种攻击方式不行，新建账户已经拦截了。（那阵子流行敲竹杠木马。。。）”
我虚拟机一试，果然360在32位下果然拦截了，而且拦的很彻底，把我搜到的偏门的都拦截了，企鹅金山都没拦。
可是，再一试，直接写sam注册表不拦截（好吧，360你怎么想的。。）
但是这个方法有一点不好，创建的是普通账户，不是管理员的。那是不是普通账户就不实用呢？
其实不是，管理员账户下就可以把普通账户的安全机制破坏掉，比如允许普通账户随便写文件注册表。所以这个方法也是可行的，就是繁琐了点，不太好。
这是方法1了，好像现在360拦截写sam注册表了。。

然后我再想还有没有办法了呢。不一定要新建账户，只需要让当前账户的工作目录失效，从而让系统重建一个当前账户的工作目录，这样文件就从default那里复制过来了。那怎么做才能失效呢？最简单的方法就是把ntuser.dat删掉，于是我就用PendingFileRenameOperations延迟删除什么的，让ntuser.dat重启删除。试了，有效。
这是方法2了。

后来360升级拦截了，我就试试还有没有别的方法让当前工作目录失效，好像是试出两种吧，可惜睡了一觉后只记得一种方法了。就是改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
改一下ProfileImagePath就可以把当前账户的工作目录换成任意的。这就不需要default文件夹了。
这是方法3了。方法2和3貌似360后来防了。

然后昨天晚上又试了下这个，还有一种方法。注册表里不是有个User Shell Folders么？里面有个Common Startup
值是%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup
（XP是另一个变量名）
所以我添加一个系统环境变量把ProgramData定义为我自己的路径（360居然不管系统变量），OK了。
这个算是方法4了，360现在还不拦。

还有没有别的方法了呢，如果是以启动文件夹为“中心思想”的，我还没发现。

总之，我发这贴什么意思呢。说点自己的看法。
1.管理员下能做的事太多了。像我这种外行搞不了进程，搞文件，注册表也是够玩的。对真正的高手来说，给点时间找百十个绕过估计就跟玩一样。。。
2.360钩子再强大，规则上也不会面面俱到。所以从规则上找绕过点是简单了很多的。当然了，360如果把整个hklm\system，xxx\Microsoft\Windows NT都加入规则，罩住他，个别键值加入排除。那么估计可以堵住上百个坑的。
3.不是说360不好，随便就被日了什么的。对于360写启动需要点技巧，其他家直接写就行了。。。

顺便多嘴骂下360新版本界面，还真是日了狗了。。绿绿的一点都不好看，跟杀毒也很像了，没特色，加速球和清理完全抄袭毒霸。各个功能入口也找不到，肄业小学生设计的吧。尤其是沙箱，我找了半天都找不到

显示全部楼层 · 发表于 2015-7-5 15:03:07

仔细看完了
很不错

显示全部楼层 · 发表于 2015-7-5 15:21:49

我居然看完了

显示全部楼层 · 发表于 2015-7-5 15:34:27

看来楼主对360才是真爱啊

显示全部楼层 · 发表于 2015-7-5 16:06:54

我就看看，我不说话。
@东夷少女 @有妖气

显示全部楼层 · 发表于 2015-7-5 16:14:00

ddxuchen 发表于 2015-7-5 15:34
看来楼主对360才是真爱啊

何以见得。我不喜欢360
的。只是喜欢找茬喷罢

了

显示全部楼层 · 发表于 2015-7-5 16:25:22

360钩子再强大，规则上也不会面面俱到。

唉，这就是我一直偏爱智能主防的原因啊。

显示全部楼层 · 发表于 2015-7-5 17:00:58

本帖最后由 ddxuchen 于 2015-7-5 17:02 编辑

kfpe23 发表于 2015-7-5 16:14
何以见得。我不喜欢360
的。只是喜欢找茬喷罢

喜欢找茬，就是在不停的找漏洞，只有这样360才会不断的完善，这是某种意义上的真爱啊。
实质性的作为，要比脑残粉靠谱多了。

P.S. 新版360的界面我也要吐槽一下，搞成这样真的好么=_=

显示全部楼层 · 发表于 2015-7-5 17:34:21

XP下也有2处直接写启动文件没防御的，只不过还没发现有木马这么干过..

显示全部楼层 · 发表于 2015-7-5 17:44:44

ddxuchen 发表于 2015-7-5 17:00
喜欢找茬，就是在不停的找漏洞，只有这样360才会不断的完善，这是某种意义上的真爱啊。
实质性的作为 ...

你真是君子度小人之腹啊
...

[砖头] 技(yu)术(le)贴：围绕一个启动文件夹疯狂绕过360防御