奇怪的过程调用【二】配合高强策略写过主防的敲竹杠

奇怪的过程调用【二】配合高强策略写过主防的敲竹杠

Jonty
2014-10-19 / 2 评论 / 90 阅读 / 正在检测是否收录...

上一期说道,那些东西在系统战场是没法活用的,这次正好研究出来了某些玩意就顺便写出来玩玩

一 完美配合 - 伟大的WinRAR自解压

来看看某人的神比喻:

我们可以清楚的知道,WinRAR是有后台,各大杀软也打不开的铁裤衩

想要打开,那么必须得大伤元气(时间)。所以这正和我意

但是,如果内部文件都不报毒,但是却不是可执行文件,且还带三个附带插件才能正确使用的文件来说,用WinRaR来当外壳是最不错的

自己写的壳也行,但是你这个无名小卒的行为谁知道哪天会被卡擦了,当然还是要绿标的WINRAR最好了


二 深度解析,蛋疼思考策略和小小的蛋疼行为绕过杀软主防

因为改密码已经可以成功了。

原理是,360对Sam项的写入监控的很严密,但是如果原本就有项值,通过reg add或者regedit /s 写入是不会拦截的

微软用户的格式如下:

每个用户对应一个值。administrator对应的必然是1F4,这是每个系统都一样的。我也不知道为啥,反正就是这样、

F = 权限   V = 加密的hash值

以上就不用多说了吧,自己配置个V,导出成reg即可。能保证导入到1F4的V就行。

接下来就是我想了半天的,添加用户

由于我那个VBS脚本被杀了,so。。。。用尽了各种方法,依旧没想到

不过反应过来,添加用户的初衷是让用户知晓自己电脑被锁,且知道需要联系谁。so。我想到了个更好的东西

策略组是能和rootkit级别抗衡的存在,它是最强大的,只要设置的好,它将使你电脑百毒不侵。

每个策略组都对应一个注册表键值

通过以上,你们明白了吧。

在登录界面弹出对话框可比添加用户的方式好多了。

地址我已经蛋疼的找到了,配置好导出下,就成这样了

a=new   ActiveXObject("wscript.shell");
a.run("cmd /c start"+" "+"d:\\a.mp3");

三 正确的配置,完美的绕过

好吧,上一章的蛋疼貌似是我瞎编的,反正我想那个方法确实很蛋疼。QAQ,真的。还有我是个标题党,别喷我

好。我们继续配置。

按照上次的配置,cpl文件配置好

好,我们配置我们的js

js很简单,就几行代码:

好。我们把那些文件使用winrar自解压配置

做成静默安装包,怎么做我就不说了。自己百度去。

提醒下,解压路径一定要和cpl文件吻合。你改的js文件在哪里,路径也要在哪里

大功告成

好吧,我承认我多次一举,其实自解压写成执行js就行了,没必要配置cpl,反正已经写完了,我也懒得改了。就这样了

后记-各种查杀结果

世界查毒网地址;  http://r.virscan.org/report/182ee20ef680d97e14afe98822400978

貌似是因为我的那条shutdown被查出了一个QAQ。

作者的一些话:

很多人都说我这些垃圾,太简单。
我想问问,一定要强大的汇编?或者冗杂的代码?还是需要一大堆你看不懂的代码才叫高级?
我的作用只有目的,达到目的可以不择手段。
既然有简单达到目的的方法,何尝不用?
Black Internet Explorer 参上

本文共 884 个字数,平均阅读时长 ≈ 3分钟
0

打赏

海报

正在生成.....

评论 (2)

取消
  1. 头像
    gkroot Lv.6
    中国陕西省 ·Windows XP · Google Chrome
    沙发

    时间测试。。,

    回复 删除 垃圾
  2. 头像
    maillot saxo bank Lv.3
    中国山东省 ·Windows 7 · Google Chrome
    板凳

    这对话好极致。

    回复 删除 垃圾