-
-
[旧帖] [原创]发现36O漏洞,可以轻松绕过active启动检查 0.00雪花
-
发表于: 2010-5-21 13:02
-
36O的7.0版本实在是猥琐,目前流行的木马大多用Active上线,结果被盯上了
,无语。想了好久怎么过,但是36O是扫描敏感位置的,试过Windows事件通知包加载DLL(还是有提示)而干掉它又太大条了,所以就从它的监控模式下手去发掘可趁之机…… 
总之是发现了,自己的木马完全没有提示。不过纠结的是360间谍太多(那个谁谁!!就说你呢!),怕说出来又挂了……反正这个漏洞不是小菜可以用的,需要自己编木马,或者改已有的源文件(事实上用这个漏洞甚至可以加载RUN的注册表实现启动,不过这里在体检时还是有显示,所以不用。)
不过可以提示一下,这个漏洞其实和启发式扫描(包括咔吧死机的虚拟机)有共通点:先下载再运行(杀),先下载然后发呆做数学题再运行(放)。
虽然曲线救国但是有总比没的好。
感兴趣的人可以留言,等我鉴定你的RP后再告诉你……
,无语。想了好久怎么过,但是36O是扫描敏感位置的,试过Windows事件通知包加载DLL(还是有提示)而干掉它又太大条了,所以就从它的监控模式下手去发掘可趁之机…… 总之是发现了,自己的木马完全没有提示。不过纠结的是360间谍太多(那个谁谁!!就说你呢!),怕说出来又挂了……反正这个漏洞不是小菜可以用的,需要自己编木马,或者改已有的源文件(事实上用这个漏洞甚至可以加载RUN的注册表实现启动,不过这里在体检时还是有显示,所以不用。)
不过可以提示一下,这个漏洞其实和启发式扫描(包括咔吧死机的虚拟机)有共通点:先下载再运行(杀),先下载然后发呆做数学题再运行(放)。
虽然曲线救国但是有总比没的好。
感兴趣的人可以留言,等我鉴定你的RP后再告诉你……
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
看不懂
|
|
|
先顶下 预定个位置 有话再说
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
先回帖在看
|
|
|
|
|
|
|
|
|
|
|
|
楼主说的我都不知道
太菜了 
|
|
|
最喜欢看热闹
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
