[分享]Anti-MicroPoint without Kill any process-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]Anti-MicroPoint without Kill any process

发表于: 2008-5-21 20:59 15265

[分享]Anti-MicroPoint without Kill any process

sudami

2008-5-21 20:59

15265

1. 部分文件被隐藏, 是FSD HOOK所至.
2. 微点的进程依然在,但主界面弹不出来,提示初始化错误.
3. 部分ARK: IS、狙剑、RKU、Wsyscheck、gmer无法正常运行,进程依然在,但用户不能对其进行任何操作,无显示界面. 不可对这些ARK进行改名和删除.
4. 注册表中增加部分键值,一些是和驱动进行交互用的,不过很脆弱. IFEO中增加2项 -- mpstart.exe、Download.exe。这是劫持微点为C:\sudami.exe.
5. 注册表中的Run、Runonce、Advanced、 QQ、MICROPOINT...等键值无法打开.
6. 在各个盘符新增autorun.inf 和 sudami.exe. 无法对它们进行删除和改名操作
7. IE首页被修改为http://hi.baidu.com/sudami. 微点的注册表保护能进行拦截,但加了线程循环后,微点会不断的弹出提示框.(友情提醒:应该考虑像HIPS那样,加一个"以后一直拦截此操作"的选项,方便用户操作)
8. 若C;\sudami.exe被删,驱动部分会从TMP备份中拷贝一份sudami.exe到C盘根目录下. 若部分用户已经提前在C盘根目录下建立起同名不可删除文件" C:\sudami.exe 和C:\sudami.exe\hi...\", 驱动会发IRP删除畸形文件.再进行拷贝操作.
9. exe运行后,R3部分访问高端内存,SSDT被恢复.不过对微点这样注册了DPC或开了系统线程回写SSDT的无效. 此流程可有可无.不过对部分安全软件依然有效.
10. sudami.exe运行后, 任务管理器和所有已知ARK, 都不能结束其进程; 产生互斥量防止多个实例运行.
11.驱动部分加载后会监视进程的创建,当发现以下进程启动时,激活sudami.exe 和记事本--
iexplore、任务管理器、QQ、WORD文档、regedit、1.exe、EXPLORER.
sudami.exe不需要自启动项,驱动部分在系统启动时,一旦检测到EXPLORER.EXE已启动,立即插APC启动R3程序.
12. 系统重新启动后微点无法加载,当手动启动微点时,会显示"启动失败"

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层

上传的附件：

sudami.rar （102.63kb，157次下载）
ReadMe.txt （5.33kb，126次下载）
Snap1.gif （8.24kb，688次下载）
Snap2.gif （6.14kb，684次下载）
Snap4.gif （5.85kb，683次下载）
Snap3.gif （5.76kb，684次下载）
Snap5.gif （5.72kb，684次下载）
Snap7.gif （3.07kb，683次下载）
Snap6.gif （3.41kb，684次下载）

收藏・6

免费・7

支持

最新回复 (38) 1 2 ▶
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 2 楼学习，哦也。。。。 2008-5-21 21:01 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 3 楼同学同学....... 2008-5-21 21:07 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 4 楼第三楼，哦也 2008-5-21 21:07 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 5 楼咯咯咯咯咯 2008-5-21 21:09 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼上次微软聚会，有一位后来去了东方微点 sudami水平很高 2008-5-21 21:13 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼俺菜鸟一个啊~~ 见笑了 2008-5-21 21:18 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 8 楼我们说的水平是包括RP+技术的综合实力 2008-5-21 21:29 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 9 楼虚拟机蓝.. 2008-5-21 21:41 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 10 楼那就是在查找NtSetValueKey的时候地址有错误. 这个问题俺没怎么太在意它~~~ BSOD的几率可能会很大~~~ 2008-5-21 21:43 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 11 楼那你再修改下...我确实很想看你这个驱动/////应该很帅 2008-5-21 21:47 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 12 楼驱动CV了啊.... 稳定性不好. 汗,偶再改改~~~~ 2008-5-21 21:49 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 13 楼 sudami兄...我虚拟机坏了....现在一开机就直接蓝.....安全模式也进不了....看来你那个驱动开机就直接运行啊..... 2008-5-21 21:50 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 14 楼很严重~~~ 是2个函数地址在不同的内核里面可能找到的不正确.导致BSOD的. 偶明天优化下算法,看能不能兼容~~~~ 今天凌晨看曼联 VS 切而西了 2008-5-21 21:56 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 15 楼汗...我现在这个虚拟机基本报销...有什么办法解决没...win pe又不行 2008-5-21 21:58 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 16 楼俺一般是有快照的... =.=\| 你想办法把BEEP.sys删了就行了~~~~ 2008-5-21 22:04 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 17 楼很久没看到好文了... 2008-5-21 22:21 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 18 楼说话风格跟马甲越来越像了啊 2008-5-21 22:23 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 19 楼只用真身，不用马甲 2008-5-21 23:26 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 20 楼我是指很猥琐的那个马甲 2008-5-21 23:30 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 21 楼那人马甲也太多了吧。。。 2008-5-21 23:31 0
icefall 雪币： 154 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 156 粉丝 0 关注私信	icefall 1 22 楼技术不错不过老一辈总是教导我们参考文献不要写一大堆自己的 2008-5-22 01:19 0
smjshl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	smjshl 23 楼学习了，谢谢! 2008-5-22 02:21 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 24 楼跟着来加一个哦也 2008-5-22 06:34 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 25 楼 DebugMan我这里无法访问了~ 2008-5-22 08:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sudami

发帖

1581

回帖

1010

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 2 楼学习，哦也。。。。 2008-5-21 21:01 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 3 楼同学同学....... 2008-5-21 21:07 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 4 楼第三楼，哦也 2008-5-21 21:07 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 5 楼咯咯咯咯咯 2008-5-21 21:09 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼上次微软聚会，有一位后来去了东方微点 sudami水平很高 2008-5-21 21:13 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼俺菜鸟一个啊~~ 见笑了 2008-5-21 21:18 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 8 楼我们说的水平是包括RP+技术的综合实力 2008-5-21 21:29 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 9 楼虚拟机蓝.. 2008-5-21 21:41 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 10 楼那就是在查找NtSetValueKey的时候地址有错误. 这个问题俺没怎么太在意它~~~ BSOD的几率可能会很大~~~ 2008-5-21 21:43 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 11 楼那你再修改下...我确实很想看你这个驱动/////应该很帅 2008-5-21 21:47 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 12 楼驱动CV了啊.... 稳定性不好. 汗,偶再改改~~~~ 2008-5-21 21:49 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 13 楼 sudami兄...我虚拟机坏了....现在一开机就直接蓝.....安全模式也进不了....看来你那个驱动开机就直接运行啊..... 2008-5-21 21:50 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 14 楼很严重~~~ 是2个函数地址在不同的内核里面可能找到的不正确.导致BSOD的. 偶明天优化下算法,看能不能兼容~~~~ 今天凌晨看曼联 VS 切而西了 2008-5-21 21:56 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 15 楼汗...我现在这个虚拟机基本报销...有什么办法解决没...win pe又不行 2008-5-21 21:58 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 16 楼俺一般是有快照的... =.=\| 你想办法把BEEP.sys删了就行了~~~~ 2008-5-21 22:04 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 17 楼很久没看到好文了... 2008-5-21 22:21 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 18 楼说话风格跟马甲越来越像了啊 2008-5-21 22:23 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 19 楼只用真身，不用马甲 2008-5-21 23:26 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 20 楼我是指很猥琐的那个马甲 2008-5-21 23:30 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 21 楼那人马甲也太多了吧。。。 2008-5-21 23:31 0
icefall 雪币： 154 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 156 粉丝 0 关注私信	icefall 1 22 楼技术不错不过老一辈总是教导我们参考文献不要写一大堆自己的 2008-5-22 01:19 0
smjshl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	smjshl 23 楼学习了，谢谢! 2008-5-22 02:21 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 24 楼跟着来加一个哦也 2008-5-22 06:34 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 25 楼 DebugMan我这里无法访问了~ 2008-5-22 08:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复