查看: 2522|回复: 10
收起左侧

[技术原创] Atbroker写启动,360独家防一半漏一半

[复制链接]
kfne12
头像被屏蔽
发表于 2018-5-15 16:23:38 | 显示全部楼层 |阅读模式
本帖最后由 kfne12 于 2018-5-15 16:26 编辑

Atbroker漏洞无限次触发 金山毒霸独家防御

看到卡饭和freebuf这个帖子,提到了一种貌似不新鲜的启动方式。
既然毒霸说是独家防御,我就试了试360的防御,是不是真不能防。

结果呢,试了下。360确实不能防,因为只防了一半,注册表Configuration值写到current_user防了,写到machine就不管了。

实际上写到machine效果更好,因为是进程是system权限而不是当前用户权限的。

写到machine唯一一点不好,就是如果系统设置为自动登录的话,在自动登录后进程会被结束(我没试出来怎么把进程维持到登录后),也就是说进程只能维持几秒。
但是我觉得解决这个这么做就行了:木马进程启动后因为是system权限的,所以可以把winlogon暂停掉,这样可以阻止自动登录,等干完足够多的事后再恢复winlogon.


另外金山的文章里说:按下组合键,触发uac都会启动,我没试出来。我这里win7只能在登录时启动。不知道怎么弄,望懂得不吝赐教。



360主动防御
发表于 2018-5-15 16:38:21 | 显示全部楼层
win7环境下会在登录之前触发,我们再核实一下
杰伦J时代
发表于 2018-5-15 16:44:36 来自手机 | 显示全部楼层
360主动防御 发表于 2018-5-15 16:38
win7环境下会在登录之前触发,我们再核实一下

毒霸还可以,不能一个样本看杀软本质,360确实NB!
kfne12
头像被屏蔽
 楼主| 发表于 2018-5-15 20:07:52 | 显示全部楼层
杰伦J时代 发表于 2018-5-15 16:44
毒霸还可以,不能一个样本看杀软本质,360确实NB!

360确实比较NB,对我来说,当年在XP系统下,找个过360主防的方法要花点时间的,过金山就不需要动脑子了,尽管我只会玩玩批处理..

不过金山好就好在能把握住木马流行的趋势进行防护.像敲竹杠啊,挖矿啊,当年相应的都很及时,而且也不是很卡。
kfne12
头像被屏蔽
 楼主| 发表于 2018-5-15 21:50:33 | 显示全部楼层
本帖最后由 kfne12 于 2018-5-15 21:53 编辑

试了下,总算知道金山文章说的按下组合键,uac之类的触发是怎么回事了。

文章没骗人,确实有这么回事。

所以只防那个Configuration是不完美的。最好是禁止startexe写入。

Configuration值的意义在于开机启动,组合键触发uac触发的意义在于不重启绕过主防。

组合键触发,uac之类的触发的话,再启动一个白加黑,主防基本都不拦截,因为父进程是根正苗红的:winlogon.exe-utilman.exe-test.exe

这个道理就和用com接口之类的启动白加黑一样或者断网再用com接口启动黑进程一样。

这方法确实还可以,不过win7以上系统过主防好方法一堆,我怎么觉得没必要用这个方法了。。


啦啦啦的吗西亚
发表于 2018-5-15 23:09:07 | 显示全部楼层
本帖最后由 啦啦啦的吗西亚 于 2018-5-15 23:10 编辑

啥独家不独家的,为啥要加这两个字。每次出现个什么情况,360,金山,腾讯,江民,瑞星,都要出来独家独家,率先率先
xdct
发表于 2018-5-16 09:29:47 | 显示全部楼层
kfne12 发表于 2018-5-15 21:50
试了下,总算知道金山文章说的按下组合键,uac之类的触发是怎么回事了。

文章没骗人,确实有这么回事。
...

win7上过主防的方法一堆,拿出来秀一个?
ozc
发表于 2018-5-16 09:48:33 | 显示全部楼层
kfne12 发表于 2018-5-15 21:50
试了下,总算知道金山文章说的按下组合键,uac之类的触发是怎么回事了。

文章没骗人,确实有这么回事。
...

我觉得UAC和锁屏触发这种,如果结合场景就很妙
(1)UAC:嫁祸于人。前期先在startexe 和 Configuration 下写配置,然后UAC触发时白+黑启动勒索病毒,加密完之后再删除startexe 和 Configuration配置,同时病毒母体。这样,中毒者就以为是弹出UAC的程序干的坏事。
(2)锁屏:偷鸡摸狗。锁屏时挖矿,登录时结束自己,这样相当于在中毒者离开电脑的时候在挖,回来登录的时候已经退出了,不会发现异常
当然,这中间很很多技术细节,比如如何检测是UAC还是锁屏,还是用户登录
kfne12
头像被屏蔽
 楼主| 发表于 2018-5-16 10:37:02 | 显示全部楼层
ozc 发表于 2018-5-16 09:48
我觉得UAC和锁屏触发这种,如果结合场景就很妙
(1)UAC:嫁祸于人。前期先在startexe 和 Configuration ...

哈哈,原作者来了.
我的思路太狭窄了,还停留在N年前。还是你的思路妙。
kfne12
头像被屏蔽
 楼主| 发表于 2018-5-16 10:40:16 | 显示全部楼层
xdct 发表于 2018-5-16 09:29
win7上过主防的方法一堆,拿出来秀一个?

我又不搞木马秀这个干嘛。
你可以自己试试嘛,确实很多。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 12:00 , Processed in 0.143735 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表