首页
社区
课程
招聘
过360驱动防火墙[已关闭]
发表于: 2011-7-1 16:53 18659

过360驱动防火墙[已关闭]

2011-7-1 16:53
18659
有点标题党,这方法现在不能用了吧,网上也出现了,才敢发出来
好久没发贴了,把之前研究的相关的东西弄上去,现在看代码风格好差,建议用google c++编程规范

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (28)
雪    币: 66
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
LZ貌似是在数字工作吧,这.....
2011-7-1 17:04
0
雪    币: 260
活跃值: (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
不是,呵呵。。。
2011-7-1 17:13
0
雪    币: 155
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
太无聊了 太无聊了...
2011-7-1 17:41
0
雪    币: 3134
活跃值: (1279)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
5
表示没见过。。。。。。。
2011-7-1 17:44
0
雪    币: 260
活跃值: (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
......................................
2011-7-1 17:47
0
雪    币: 1693
活跃值: (761)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
有意思,
2011-7-1 17:56
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
8
附件已经消失了~
话说,过360很简单,有个XXX.exe只有10+KB丫有签名,丫在一切杀毒主防里都是白名单,丫会加载同目录下的xxx.dll~~~
xxx.exe的父进程要做个和谐处理,所以需要ParentHack(非VISTA系统下直接ntdll!xxxx的参数改一下就可以实现以explorer.exe为父进程启动了~~)
如果那个xxx.dll创建服务,加载某xxx.sys,xxx.sys有签名,而且在所有杀毒里也是白名单,xxx.sys会加载同目录下xx.dat文件(peloader啊~~~)
然后你懂得,世界和谐了~~~~
2011-7-1 23:08
0
雪    币: 14
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
祝我们的姥姥生日快乐!!
2011-7-1 23:38
0
雪    币: 1981
活跃值: (771)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
10
已找出所有 10+KB的xxx.exe,下面开始人肉实验

label.exe
mountvol.exe
sprestrt.exe
autolfn.exe
chkntfs.exe
doskey.exe
reset.exe
wowexec.exe
wpnpinst.exe
attrib.exe
chkdsk.exe
mstinit.exe
proxycfg.exe
rasautou.exe
setver.exe
sfc.exe
tracert.exe
append.exe
edlin.exe
lsass.exe
REGCLADM.EXE
replace.exe
savedump.exe
spiisupd.exe
wbem\winmgmt.exe
auditusr.exe
convert.exe
rasdial.exe
rdsaddin.exe
regsvr32.exe
rexec.exe
runonce.exe
svchost.exe
wscntfy.exe
ctfmon.exe
fc.exe
jdbgmgr.exe
wbem\mofcomp.exe
npp\nppagent.exe
pentnt.exe
rsh.exe
stimon.exe
taskman.exe
tcmsetup.exe
comp.exe
dmremote.exe
perfmon.exe
logoff.exe
shadow.exe
tftp.exe
tscon.exe
tsdiscon.exe
wbem\unsecapp.exe
upnpcont.exe
wpdshextautoplay.exe
dpnsvr.exe
expand.exe
mrinfo.exe
ping.exe
rwinsta.exe
tskill.exe
arp.exe
qappsrv.exe
sysedit.exe
tsshutdn.exe
hh.exe
taskman.exe
2011-7-1 23:38
0
雪    币: 445
活跃值: (52)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
好方法呀~~,回去研究研究
2011-7-2 00:05
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
12
这个·exe不一定是M$的,他可能是TX的,可能是SD的,还可能是任何一个公司的~
2011-7-2 00:09
0
雪    币: 1981
活跃值: (771)
能力值: ( LV13,RANK:420 )
在线值:
发帖
回帖
粉丝
13
折个,折个、、、、我还是去和妹子聊天好点
2011-7-2 00:20
0
雪    币: 3134
活跃值: (1279)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
14
表示压力很大,曾经简单的在启动进程的时候,修改过parent handle为explorer.exe。不过启动不起来。。
2011-7-2 00:33
0
雪    币: 422
活跃值: (115)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
15
就是之前用的方法.......
你懂的.......
2011-7-2 00:46
0
雪    币: 391
活跃值: (717)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
16
第三方程序......
安全厂商的//////
2011-7-2 00:48
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
17
于是聪明的人们发明了 Sendkey Win+R 然后输入那啥来启动exe~
2011-7-2 01:14
0
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
v神说的是不是完美的反挂系统??
2011-7-2 02:35
0
雪    币: 564
活跃值: (42)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
19
哥,我来看你了
2011-7-2 11:44
0
雪    币: 65
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
还有sendMessage hotkey等方法
2011-7-2 11:53
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
21
切,不是还有sendkey给taskmgr,新建任务,启动病毒的么。
不好使啦,别做木马啦,捐钱给红X会吧
2011-7-2 12:02
0
雪    币: 695
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
又见校长爆料。。
2011-7-2 12:25
0
雪    币: 260
活跃值: (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
23
现在流行到山区捐现金了 哈哈
2011-7-2 12:36
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
24
话说貌似Au3的installer还是白名单吧~貌似AU3安装脚本释放bin,你们不拦吧~
貌似UIWImport安装证书这么纠结的东西,你们不拦截吧~

木马多没意思啊,现在哥搞OA软件了,上看雪看到这个帖子就把老料爆爆~
2011-7-2 13:22
0
雪    币: 220
活跃值: (776)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
sudami成MJ的接班人了!
你们懂的
2011-7-2 22:47
0
游客
登录 | 注册 方可回帖
返回
//