Atbroker写启动，360独家防一半漏一半

kfne12

Atbroker漏洞无限次触发 金山毒霸独家防御

看到卡饭和freebuf这个帖子，提到了一种貌似不新鲜的启动方式。
既然毒霸说是独家防御，我就试了试360的防御，是不是真不能防。

结果呢，试了下。360确实不能防，因为只防了一半，注册表Configuration值写到current_user防了，写到machine就不管了。

实际上写到machine效果更好，因为是进程是system权限而不是当前用户权限的。

写到machine唯一一点不好，就是如果系统设置为自动登录的话，在自动登录后进程会被结束（我没试出来怎么把进程维持到登录后），也就是说进程只能维持几秒。
但是我觉得解决这个这么做就行了：木马进程启动后因为是system权限的，所以可以把winlogon暂停掉，这样可以阻止自动登录，等干完足够多的事后再恢复winlogon.


另外金山的文章里说：按下组合键，触发uac都会启动，我没试出来。我这里win7只能在登录时启动。不知道怎么弄,望懂得不吝赐教。

360主动防御

win7环境下会在登录之前触发，我们再核实一下

杰伦Ｊ时代

360主动防御 发表于 2018-5-15 16:38
win7环境下会在登录之前触发，我们再核实一下

毒霸还可以，不能一个样本看杀软本质，360确实NB！

kfne12

杰伦Ｊ时代 发表于 2018-5-15 16:44
毒霸还可以，不能一个样本看杀软本质，360确实NB！

360确实比较NB,对我来说，当年在XP系统下，找个过360主防的方法要花点时间的,过金山就不需要动脑子了,尽管我只会玩玩批处理..

不过金山好就好在能把握住木马流行的趋势进行防护.像敲竹杠啊,挖矿啊,当年相应的都很及时，而且也不是很卡。

kfne12

试了下，总算知道金山文章说的按下组合键，uac之类的触发是怎么回事了。

文章没骗人，确实有这么回事。

所以只防那个Configuration是不完美的。最好是禁止startexe写入。

Configuration值的意义在于开机启动，组合键触发uac触发的意义在于不重启绕过主防。

组合键触发，uac之类的触发的话，再启动一个白加黑，主防基本都不拦截，因为父进程是根正苗红的：winlogon.exe-utilman.exe-test.exe

这个道理就和用com接口之类的启动白加黑一样或者断网再用com接口启动黑进程一样。

这方法确实还可以，不过win7以上系统过主防好方法一堆，我怎么觉得没必要用这个方法了。。

啦啦啦的吗西亚

啥独家不独家的，为啥要加这两个字。每次出现个什么情况，360，金山，腾讯，江民，瑞星，都要出来独家独家，率先率先

xdct

kfne12 发表于 2018-5-15 21:50
试了下，总算知道金山文章说的按下组合键，uac之类的触发是怎么回事了。

文章没骗人，确实有这么回事。
...

win7上过主防的方法一堆，拿出来秀一个？

ozc

kfne12 发表于 2018-5-15 21:50
试了下，总算知道金山文章说的按下组合键，uac之类的触发是怎么回事了。

文章没骗人，确实有这么回事。
...

我觉得UAC和锁屏触发这种，如果结合场景就很妙
（1）UAC：嫁祸于人。前期先在startexe 和 Configuration 下写配置，然后UAC触发时白+黑启动勒索病毒，加密完之后再删除startexe 和 Configuration配置，同时病毒母体。这样，中毒者就以为是弹出UAC的程序干的坏事。
（2）锁屏：偷鸡摸狗。锁屏时挖矿，登录时结束自己，这样相当于在中毒者离开电脑的时候在挖，回来登录的时候已经退出了，不会发现异常
当然，这中间很很多技术细节，比如如何检测是UAC还是锁屏，还是用户登录

kfne12

ozc 发表于 2018-5-16 09:48
我觉得UAC和锁屏触发这种，如果结合场景就很妙
（1）UAC：嫁祸于人。前期先在startexe 和 Configuration ...

哈哈，原作者来了.
我的思路太狭窄了，还停留在N年前。还是你的思路妙。

kfne12

xdct 发表于 2018-5-16 09:29
win7上过主防的方法一堆，拿出来秀一个？

我又不搞木马秀这个干嘛。
你可以自己试试嘛，确实很多。