估计很多人都说,现在马儿在36O的机子上很难存活了,但为什么还有人在卖远控,号称过36O的五引擎?只能说明36O并不是神话,道高一尺,魔高一丈。。。再强的防御也可以突破
大家都知道,马儿开机(间接)启动是必须做的一件事,可36O把启动都监控死了,怎么搞!
这里总结一些思路和方法:
一、模拟法
这是目前仍可以过36O的***常用手法,因为36O会智能判断是不是用户自己进行的注册表或文件操作,这就有了可趁之机,也就是去模拟用户修改注册表或复制文件,这样就在36O没有提示的情况下写入启动
二、信任法
这个想必大家应该知道,36O对于系统有些系统的程序都是信任的,它们进行一些启动的操作都是允许的,如任务管理器 用它调用regedit /s 启动.reg 直接导入,无提示,所以在这基础上又诞生了,信任程序发信方法,用***向系统的进程发信,这样360误认为是用户进行的操作,又成功的写入, 不过36O的工作人员好像看穿了这个小把戏,它会判断这个windows的信任程序的父进程,也就是调用它的进程是不是由系统发出的,而***在发信之前肯定会先调用 任务管理器,再发信,不过这时,36O对父进程PID一查,呵呵,你的马儿就漏馅了。。。,想要过?。。。父进程入手,你懂的
三、提权关机写入法
这个在论坛已发过了,提权后,在关机时写。。现在有些难了,36O的监控会在那驻留到都关机了还在。。。(好不BT),进程都没了。。还在那XXOO
不过,对付它的方法我也在文章提到了,提成system权限后,然后截取关机事件,如果是关机,则阻止,马上调用注销,这样36O就乖乖的退出了,退出后。。***还是system权限,当然不会关,这时。。你想做神马做神马
四、内核驱动
这种方法我就不敢多说了,某天我测试了个下载者。。。。本身报毒(当然可以免杀),运行之后,***自删,36O的四引擎开着。。。。结果体验,云杀,全盘杀。。
无任何异常。。。进程木有,启动也木有,下载者也找不到了。。。其方法究竟是dll注入,还是内核权限干过了36O。。就不知道了,偶对内核级***无任何研究。。
五、冒充法
这种***目前也是存活的,前段时间见了个,冒充的是金山卫士。。。36O竟然对人家的操作不管不问。。。,至于***是怎么冒充的,是数字签名,还是做其它判断主没深究了
六、虚拟桌面法
这种方法是听强人说的。。据说成功过36O,不过具体的方法就不知道了
七、伪造父进程法
这种马儿我还没见过,不过应该是一种趋势,因为第二种方法想要成功,就必须在父进程这想办法!(这招最新。。好像木人用过。。。)
最后,我留了一手。。。灰常强大,藐所有杀软启动监控(因为是不写启动的启动,自然能藐所有杀软)
估计这篇文章让36O的那些人看了,又会又不少***被和谐,。。。。要是***的作者知道是我戳他们轮胎。。。还不拿砖拍死我??
转载自原文链接, 如需删除请联系管理员。
原文链接:hellxman最新突破36O的启动思路,转载请注明来源!