某人写的过微点主动防御

urge

[/td][/tr][tr][td]简单的写一下过微点主动防御，

这篇文章，只是给大家提供一个很好的思路，请大家再去挖掘更多的方法，突破微点主动东防御，今天使用鸽子来突破微点的主动防御，现说下如何来配置鸽子，如图1：
安装路径选择D盘！因为经过我测试，如果文件释放到，系统目录下，任何位置，如windows,或者system32微点都会报警，所以选择其他盘符，这样就不会报警。启动项设置，如图2， 都不选择，让他留空，无论是写注册表或者写服务，都会报警，所以我们就不写，：在填写高级选项， 只选择隐藏进程。不能选择插入IE,，选择插入IE,微点同样会报警，接下来生成服务端。
这样生成的木马微点就不会报警了！但是有个问题！虽然可以上线，但是从新启动后，就不能加载程序了！因为我们没有选择启动方式。这里我们需要通过另外的一种方式来弥补这个问题！让木马从新启动后，能够正常的运行上线！
我们使用VBS 写一段代码，让他运行指定位置的EXE,也就是说运行我们释放到D盘里面的鸽子，代码如下
On Error Resume Next
set wshshell=createobject ("wscript.shell" )
a=wshshell.run ("D:\iexplorer.exe -install 516 iloveyou",2)
，大家都能看懂把。我就不多说了。
接下来我们把这段代码用TXT文本改成VBS。我们用winrar自解压，如图4 让他释放到，C:\Documents and Settings\All Users\「开始」菜单\程序\启动 这这个目录下，生成自解压的EXE,随便起名字，到了最后了！我们使用捆绑器将生成的鸽子和用winrar封装过的vbs，捆绑到一起。就实现了完美过微点主动防御的这么一个小的利用方法。

最后说下总结，鸽子配置，不选择服务和注册表启动，不使用插入IE,(只要插入进程就会报警)，把木马的释放路径选择为D:|盘，任意的名字。然后让写vbs,让vbs实现运行指定位置的程序，在使用winrar将vbs进行封装处理，让他释放到启动项里面。最后使用捆绑器将winrar自解压和鸽子捆绑到一起。微点防御无任何提示报警。

注明：花了一下午的时间进行了研究，很多地方还存在缺陷，不是很完美。算的上提供个思路给大家把！不管方法如何！起码能突破。

转帖注明：黑客防线首发  by：chike
[/td][/tr][/table]

[ 本帖最后由 urge 于 2008-2-18 10:48 编辑 ]

moonsilver

老思路了，此方法曾经用于挂瑞星主动防御

urge

微点真的会被过吗?

烟雨无声

这是啥时候写的啊？最新做的测试吗？

啊弥陀佛

有样本吗?

野马

谁去组装个完整的样板出来看下效果？！

北方星空

学习o(∩_∩)o...哈哈

spaceplane

这想法是挺强的，通过RAR饶开主防特征

henry171x

爱微点就要不断突破微点！！！

urge

我不是枪手,转帖的目的只是想让爱微点的人能把这帖子转给官网的人看看