123
返回列表 发新帖
楼主: 金山毒霸V11
收起左侧

[技术原创] Atbroker漏洞无限次触发 金山毒霸独家防御

[复制链接]
qwe12301
发表于 2018-5-17 10:23:37 | 显示全部楼层
后面的故事很有意思啊哈哈
kfne12
头像被屏蔽
发表于 2018-5-17 10:50:46 | 显示全部楼层
ozc 发表于 2018-5-17 09:07
有意思的是,病毒作者亲自到FB上回帖了了,看来这个溯源推断没错

FB的昵称可以随便取的。
你没看到FB上还有很多叫马化腾,马云的
ozc
发表于 2018-5-17 18:09:11 | 显示全部楼层
kfne12 发表于 2018-5-17 10:50
FB的昵称可以随便取的。
你没看到FB上还有很多叫马化腾,马云的

不是叫人名那个ID,是贴了代码的那个
kfne12
头像被屏蔽
发表于 2018-5-17 19:17:35 | 显示全部楼层
ozc 发表于 2018-5-17 18:09
不是叫人名那个ID,是贴了代码的那个

应该是他。小o给力

另外你试过win7吗。我没有win10可以试,我感觉在我的win7上锁屏,UAC,触发的情况好像和你们描述的不太一样。

ozc
发表于 2018-5-17 19:50:31 | 显示全部楼层
kfne12 发表于 2018-5-17 19:17
应该是他。小o给力

另外你试过win7吗。我没有win10可以试,我感觉在我的win7上锁屏,UAC,触发的 ...

试了win 10的话,提到的场景都可以触发。win7的话,我测了两个环境,一个时仅仅开机可以,但锁屏,运行atbroker.exe /start playload 都不行;另一个win7 是可以的,不知道是不是环境问题,导致在哪里作了限制
kfne12
头像被屏蔽
发表于 2018-5-17 22:11:15 | 显示全部楼层
ozc 发表于 2018-5-17 19:50
试了win 10的话,提到的场景都可以触发。win7的话,我测了两个环境,一个时仅仅开机可以,但锁屏,运行at ...

我这里win7

uac,锁屏触发的条件有两种:
一种是winlogon这条线启动的那个test.exe没有退出或者被结束,就可以触发。也就是说账户登录进来后,如果test.exe自己不退出或者不被结束,那么碰到uac,锁屏时就会触发。
或者uac,锁屏时触发启动的test.exe没有结束,也可以触发再次启动。
但是如果test.exe进程全没了,这时候碰到uac,锁屏就不会触发。类似的,
test.exe进程全没了,用explorer启动一个test.exe,碰到uac,锁屏时也不会触发。

第二种就是运行一个微软钦定的程序比如osk.exe。也就是说,test.exe进程全都没了,这时候任意一个程序启动一下osk.exe,并且osk.exe不退出。这时候碰到uac,锁屏,也会触发。

另外。win7下,Configuration不写到user,写到machine下也行。

另外,不用Configuration值,
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AccessibilityTemp
这个下面也可以启动而且比Configuration效果还好。因为可以一次启动多个。你可以捣鼓捣鼓。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 07:22 , Processed in 0.102688 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表