突破主动防御之注册表监控篇(已更新)

文章标题:[原创]突破主动防御之注册表监控篇(已更新)顶部 xyzreg 发布于:2007-02-2605:29 [楼主][原创]突破主动防御之注册表监控篇(已更新)
文章作者：xyzreg[E.S.T]（https://www.wendangku.net/doc/4818962413.html,）
信息来源：邪恶八进制信息安全团队（https://www.wendangku.net/doc/4818962413.html,）

目前主动防御的概念已经深入人心，许多杀毒软件、软件防火以及HIPS都具有了注册表监控功能，防止自启动项以及IE相关键值被修改，对防范病毒木马以及流氓软件等恶意程序起到了不小的作用。但是现有的注册表监控并非无懈可击，我们仍然可以绕过注册表监控修改注册表。

绕过注册表监控的方法不止一种，应根据不同情况灵活运用。除了本演示程序使用的操作HIVE文件修改注册表的方法，我们还可以写驱动解除注册表监控程序的钩子，或者直接调用CmXXXXX等未导出函数来操作注册表等。

测试了卡巴6、瑞星2007、GSS、江民2007等含有注册表监控功能的安全软件，我写的这个演示程序均可以突破他们成功修改注册表。

本程序仅作科普以及安全警示之用，旨在提高大家安全意识以及选择更好的安全产品。勿将程序中的方法用于非法用途。

2月27Ri更新：

程序已升级，可以突破以前版本不能突破的SSM（SystemSafetyMonitor）最新版、卡巴6最新版、ZoneAlarmPro7、EQSecure、ProSecurity等。就目前来看，此次增加的特殊方法修改注册表B可以突破除了犀牛（Safe'n'Sec）之外所有的实时拦截类注册表监控程序。

当然，仍有方法突破犀牛改注册表的，比如使用非常规进Ring0法进Ring0然后恢复他的SSDThook。至于360safe之类的注册表修改通知式的非实时注册表监控也有办法绕过。有两大方法，清除Notify回调函数和rootkit技术隐藏注册表。


=800)window.open('../images/10_1534_6c029c9bc93ed13.jpg');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">

程序下载地址：https://www.wendangku.net/doc/4818962413.html,/BypassRegMon.rar


[此贴被xyzreg在2007-02-2706:34重新编辑]
附件：BypassRegMon.rar(15K)下载次数:413顶部 peter_yu 发布于:2007-02-2609:32 [1楼]
没做免杀？

=800)window.open('../images/10_34657_a798b98b86ed4f1.png');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
无反应？

=800)window.open('../images/10_34657_c445b6f61fa4d8c.png');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">
在我的vista下无反映，与系统不兼容？


[此贴被peter_yu在2007-02-2609:43重新编辑]顶部 mgf 发布于:2007-02-2611:24 [2楼]
在vista下装载驱动已经很难了,一个原因是用户权限不够,另一个是没有数字认证的驱动vista拒绝装载,所以这个程序在你的VISTA下应该不不兼容.听说VISTA有伪造数

字认证的漏洞,有时间去看看.顶部 cncxz 发布于:2007-02-2613:07 [3楼]
工具是好工具,不知LZ能不能把突破注册表监控的具体技术细节写出来?这样大家能更好学习..也不会让某些人觉得在炫耀了...顶部 gyzy 发布于:2007-02-2613:08 [4楼]
呵呵，楼主这个可是好东西啊，修改注册表里的启动项你的杀毒软件没有反应，意味着这是多么可怕.....赶紧IDA一下.....顶部 xyzreg 发布于:2007-02-2615:09 [5楼]

Quote:
引用第3楼cncxz于2007-02-2613:07发表的:
工具是好工具,不知LZ能不能把突破注册表监控的具体技术细节写出来?这样大家能更好学习..也不会让某些人觉得在炫耀了...
程序没加强壳没加花，很好逆向分析，IDA一下，这个程序的思路就出来~顶部 xyzreg 发布于:2007-02-2615:11 [6楼]

Quote:
引用第1楼peter_yu于2007-02-2609:32发表的:
在我的vista下无反映，与系统不兼容？
没在Vista下测试顶部 安全 发布于:2007-02-2700:57 [7楼]
卡巴

=800)window.open('../images/2007-02-26_23-51-30_OU8Vima821Ii.jpg');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">

=800)window.open('../images/2007-02-26_23-52-34_yu4xChyeZdJz.jpg');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">

=800)window.open('../images/2007-02-27_00-03-23_nuJJNEYVc6VZ.jpg');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">

=800)window.open('../images/2007-02-27_00-04-22_OkWEpcJaCbfJ.jpg');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">


[此贴被安全在2007-02-2701:04重新编辑]顶部 xyzreg 发布于:2007-02-2706:35 [8楼]

Quote:
引用第13楼vxk于2007-02-2703:34发表的:
haha~
嘿嘿，可以突破SSM最新版了~人民需要科普，haha~不过那天群里提的高级方法就先不科普了，呵呵~顶部 xyzreg 发布于:2007-02-2707:10 [9楼]

Quote:
引用第12楼安全于2007-02-2700:57发表的:
卡巴

.......
请问你的卡巴6具体版本号是多少？我在KIS6.0.0.300以及KIS6.0.2.614均可以绕过~

你用我刚更新过的程序再试试看。(c)Copyleft2003-2007,EvilOctalSecurityTeam.
ThisfileisdecompiledbyanunregisteredversionofChmDecompiler.
Regsiteredversiondoesnotshowthismessage.
YoucandownloadChmDecompilerat:https://www.wendangku.net/doc/4818962413.html,/