shulun743 - 2011-1-7 9:52:00
首先隐蔽的开启一个认证放行的程序进程(如Iexplore.exe进程),接着把DLL型木马插入这个线程内,然后访外时就可轻松突破防火墙的限制了——因为防火墙是不会拦截已认证放行的程序的。但是我们的瑞星已经不吃这套了 !!!在默认的规则里已经保护了。IE、Word、Excel、PowerPoint。只要木马注入这个程序或进程直接报毒。(- -。瑞星也太黑暗了。)那么怎么办呢?大家往回看。防火墙还默认放行了Outlook Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe等。不用我继续说了吧?只要是它默认放行的程序插入必过,所以愿意插哪个插哪个。至于修改的方法。将木马拖入C32。找到它的进程修改即可。
请验证此方法能否过瑞星的墙,dll插Outlook Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe,利用防火墙不拦截已认证放行的程序或 默认放行签名程序的特点!!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.9 (KHTML, like Gecko) Maxthon/3.0 Safari/533.9
吻你没商量 - 2011-1-7 23:01:00
原帖由 万事达 于 2011-1-7 13:24:00 发表
模块访问检查功能可以解决此类问题
非专业人员很难识别哪些模块可以访问网络, 除非模块路径很明显的可疑。。。
© 2000 - 2024 Rising Corp. Ltd.