本帖最后由 kfne12 于 2018-5-18 15:25 编辑
想我大约两三年前,比较无聊,就在360区发了好些个XP下无视360写入启动的方法.
其实绕过主防方法太多了,我发那些贴主要目的是想看看围绕一个启动文件夹到底能玩出多少种花样,所以方法都是围绕启动文件夹来的。到现在360一个都没防...(当然了,到现在也没有一个木马在用)
这次Atbroker什么的写启动,我看到这个,然后试了下,发现360只防了写入到current-user不防写入到machine.于是,我发了个帖子
https://bbs.kafan.cn/thread-2122832-1-1.html
这次360倒是反应的挺机敏的,刚才一试已经防了.看来被木马盯上的方法360还是蛮重视的
那么是不是现在360就100%防住这个Atbroker什么的了?
看起来仍然不是的.
还有个
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AccessibilityTemp
在user下面的默认为空值的Configuration值已经存在的前提下(默认就是存在的,并且为空)
AccessibilityTemp下面建一个
"test"=dword:00000001
仍然可以干事
之所以大家之前没注意这个是因为从控制面板进入轻松访问中心后建立的这个键在注销后会被系统删掉(不知道具体怎么删的).
但是别的程序新建这个,是不会删掉的,所以可以留到重启后启动木马.
不留到重启后,能不能玩呢?也可以.
建一个
"test"=dword:00000001
然后启动一个osk.exe
这时候你的木马也会启动.如果还觉得不保险,你还可以主动引发一下UAC(osk先不要关,只要出现UAC弹窗即可,不需要点允许),这时候木马又会再启动一次,而且还是管理员权限的,不用考虑绕过UAC了。(写Configuration值再运行osk.exe再主动引发UAC也可以。)这样做有什么意义呢?这样其实就等于说玩了父进程洗白,因为你的木马是winlogon-utilman启动的,如果你的木马再是个白加黑,那任何AV都不会拦截这种通过父进程洗白的白加黑。
-----------
另外我在测试时发现,重启后360的远程登录保护居然拦截了一次弱密码攻击,而我的系统是win7x64不是服务器。不知道这个是不是对Atbroker的另一种拦截方法:登录时拦截。可惜当时没在意直接关了,所以没在意到底拦的是什么。
不过如我上面所说,搞父进程也可以,所以即使登录时拦截也不好啊。最好的拦截方法还是像金山那样,直接拦startexe。。
-----------
更新一下
有的系统上可能默认没有那个Configuration值。这个也好解决,不需要去新建它,那样肯定被拦截。只要去start一个osk就好了。osk.exe会被自动结束,然后winlogon会自动重启osk,同时把Configuration这个空值新建上去.
|
发表于 2018-5-17 23:32:07
楼主
。我不搞编程,机子里连个vs6都没有,所以抱歉没bin。我这些都是用改了md5的cmd之类的手试出来的。。。
