首页
社区
课程
招聘
[分享]Anti-MicroPoint without Kill any process
发表于: 2008-5-21 20:59 15266

[分享]Anti-MicroPoint without Kill any process

2008-5-21 20:59
15266

1. 部分文件被隐藏, 是FSD HOOK所至.
2. 微点的进程依然在,但主界面弹不出来,提示初始化错误.
3. 部分ARK: IS、狙剑、RKU、Wsyscheck、gmer无法正常运行,进程依然在,但用户不能对其进行任何操作,无显示界面. 不可对这些ARK进行改名 和 删除.
4. 注册表中增加部分键值,一些是和驱动进行交互用的,不过很脆弱. IFEO中增加2项 -- mpstart.exe、Download.exe。 这是劫持微点为C:\sudami.exe.
5. 注册表中的Run、Runonce、Advanced、 QQ、MICROPOINT...等键值无法打开.
6. 在各个盘符新增autorun.inf 和 sudami.exe. 无法对它们进行删除和改名操作
7. IE首页被修改为http://hi.baidu.com/sudami. 微点的注册表保护能进行拦截,但加了线程循环后,微点会不断的弹出提示框.(友情提醒:应该考虑像HIPS那样,加一个"以后一直拦截此操作"的选项,方便用户操作)
8. 若C;\sudami.exe被删,驱动部分会从TMP备份中拷贝一份sudami.exe到C盘根目录下. 若部分用户已经提前在C盘根目录下建立起 同名 不可删除文件" C:\sudami.exe 和C:\sudami.exe\hi...\", 驱动会发IRP删除畸形文件.再进行拷贝操作.
9. exe运行后,R3部分访问高端内存,SSDT被恢复.不过对微点这样注册了DPC或开了系统线程回写SSDT的无效. 此流程可有可无.不过对部分安全软件依然有效.
10. sudami.exe运行后, 任务管理器 和 所有已知ARK, 都不能结束其进程; 产生互斥量防止多个实例运行.
11.驱动部分加载后会监视进程的创建,当发现以下进程启动时,激活sudami.exe 和 记事本--
iexplore、任务管理器、QQ、WORD文档、regedit、1.exe、EXPLORER.
sudami.exe不需要自启动项,驱动部分在系统启动时,一旦检测到EXPLORER.EXE已启动,立即插APC启动R3程序.
12. 系统重新启动后微点无法加载,当手动启动微点时,会显示"启动失败"

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (38)
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
2
学习,哦也。。。。
2008-5-21 21:01
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
3
同学同学.......
2008-5-21 21:07
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
4
第三楼,哦也
2008-5-21 21:07
0
雪    币: 615
活跃值: (1212)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
咯 咯 咯 咯 咯
2008-5-21 21:09
0
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
6
上次微软聚会,有一位后来去了东方微点

sudami水平很高
2008-5-21 21:13
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
7
俺菜鸟一个啊~~

见笑了
2008-5-21 21:18
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
8
我们说的水平是包括RP+技术的综合实力
2008-5-21 21:29
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
9
虚拟机    蓝..
2008-5-21 21:41
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
10
那就是在查找NtSetValueKey的时候地址有错误.

这个问题俺没怎么太在意它~~~

BSOD的几率可能会很大~~~
2008-5-21 21:43
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
11
那你再修改下...我确实很想看你这个驱动/////应该很帅
2008-5-21 21:47
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
12
驱动CV了啊....

稳定性不好. 汗,偶再改改~~~~
2008-5-21 21:49
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
13
sudami兄...我虚拟机坏了....现在一开机就直接蓝.....安全模式也进不了....看来你那个驱动开机就直接运行啊.....
2008-5-21 21:50
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
14
很严重~~~

是2个函数地址在不同的内核里面 可能找到的不正确.导致BSOD的.
偶明天优化下算法,看能不能兼容~~~~

今天凌晨看 曼联 VS 切而西
2008-5-21 21:56
0
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
15
汗...我现在这个虚拟机基本报销...有什么办法解决没...win pe又不行
2008-5-21 21:58
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
16
俺一般是有快照的... =.=|

你想办法把BEEP.sys删了就行了~~~~
2008-5-21 22:04
0
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
17
很久没看到好文了...
2008-5-21 22:21
0
雪    币: 1946
活跃值: (248)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
18
说话风格跟马甲越来越像了啊
2008-5-21 22:23
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
19
只用真身,不用马甲
2008-5-21 23:26
0
雪    币: 1946
活跃值: (248)
能力值: (RANK:330 )
在线值:
发帖
回帖
粉丝
20
我是指很猥琐的那个马甲
2008-5-21 23:30
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
21
那人马甲也太多了吧。。。
2008-5-21 23:31
0
雪    币: 154
活跃值: (80)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
22
技术不错
不过老一辈总是教导我们参考文献不要写一大堆自己的
2008-5-22 01:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
学习了,谢谢!
2008-5-22 02:21
0
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
24
跟着来加一个哦也
2008-5-22 06:34
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
25
DebugMan我这里无法访问了~
2008-5-22 08:15
0
游客
登录 | 注册 方可回帖
返回
//