与王者的较量---再次轻松绕过微点主动防御（看我帖子的人请回帖）

kuririn

这个方法主要是构造一个用户正常的操作，但是要注意，使用VBS命令，进行每一步的操作要进行三秒钟的延迟，这样等于把这一系列操作进行了分解步骤，让命令运行后，停一停，在执行下一步的操作。
重點是這個吧  sleep

lonbug

微点难道就允许ALG。EXE进程的替换嘛？

baerzake

原帖由 kuririn 于 2008-7-27 12:24 发表


这里要注意两点。
1.如果通过dos命令结束alg.exe，接着马上就删除文件的话，微点会马上报警可疑程序，并且会自动上传样本。

人家早說了  而且跟我說的差不多
剛剛我只看前面 是現在又回去看才發現跟我說的差 ...

就算可以替换掉.你认为可以绕过防火墙吗?

kuririn

非要把微點搞的像hips一樣才甘心嗎

kuririn

原帖由 baerzake 于 2008-7-27 12:37 发表
就算可以替换掉.你认为可以绕过防火墙吗?

这样系统在从新启动，后原来的木马文件会被当作是系统文件，跟着系统直接启动起来。木马本身不会启动，等于是替换了一个服务将木马启动。

那就看微點牆平常是怎麼處理alg的了
系統進程

baerzake

为什么要替换alg这个服务呢，原因是alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个进程在国产的很多防火墙里面默认规则是运行通过的，也就是说直接实现穿墙，能做到防
火墙不拦截。而且不影响系统的正常运行。

微点我不知道.除非微点的防火墙没有文件签名认证.我只知道替换ALG是过不了"国产的很多防火墙"的

kuririn

微點我也不知道 不過重點不在聯網吧

可以想辦法幹掉微點後再聯網啊

當然前提是要先幹掉

不過都是要重啟 囧

baerzake

请看清楚文章所说. 文章说可以过国产很多墙. 并没有说是微点墙
另外怎么干掉微点?不是嘴上说说
另外有的防火墙被干掉后会阻止一切通讯.
这篇文章想的太简单

kuririn

你自己說你不知道 當然你也沒試過

但我相信原帖者一定有試過

另外還有一點微點牆自稱智能牆 安全性可能會比純牆來的稍差一點

sqsszzq

吼吼，作者为什么不跟刘旭研究突破微点呢？不解中