在样本区发现一绕过360主防的样本

显示全部楼层 · 发表于 2011-1-28 23:07:16

回复 30楼 Tron 的帖子

谢谢提示。主程序加了强壳，虽然是demo，短时间内我肯定搞不定。
后来在360驱动防火墙开启情况下用监视工具配合看了下，竟然会加载360的某个dll，还是调用它的导出函数。不过修改注册表注册为默认输入法貌似仍然没发现有拦截。之后启动的wdmain，wdmain竟然还神奇地尝试加载驱动，不过被360拦下了。

显示全部楼层 · 发表于 2011-1-28 23:14:12

dl123100 发表于 2011-1-28 23:07
回复 30楼 Tron 的帖子

谢谢提示。主程序加了强壳，虽然是demo，短时间内我肯定搞不定。

程序没有改输入法，你还是仔细看看吧呵呵，这个是可以完美拦截的，或者是你的版本太老

显示全部楼层 · 发表于 2011-1-28 23:25:02

回复 32楼 Tron 的帖子

找了下，我这里将chinese(simple)注册为默认输入法/布局。
其它部分明天争取分析一下。

显示全部楼层 · 发表于 2011-1-28 23:26:36

dl123100 发表于 2011-1-28 23:25
回复 32楼 Tron 的帖子

这个不是关键，他是利用微软的一个机制上的漏洞

显示全部楼层 · 发表于 2011-1-28 23:32:58

回复 34楼 Tron 的帖子

谢谢继续提示，看来确实需要仔细分析一下了。

显示全部楼层 · 发表于 2011-1-29 04:39:29

为神马你们的卫士有提示，我的卫士神马提示都木有

难道因为我的卫士是覆盖安装的

显示全部楼层 · 发表于 2011-1-29 09:09:25

看一下

显示全部楼层 · 发表于 2011-1-29 11:14:37

卫士表示NO鸭梨. 但杀毒表示很纳闷

TO 360

显示全部楼层 · 发表于 2011-1-30 00:16:12

问题已解决，故关闭

[讨论] 在样本区发现一绕过360主防的样本

本帖子中包含更多资源