作者: 伤心的鱼

2008年各个杀毒厂商全部推出了主动防御. 各个厂商大打主动防御这个招牌。  最近在测试自己的免杀木马的时候发现， 可以躲过瑞星2008 跟Norton的查杀， 但是一运行的时候会被微点的主动防御提示。 百思不得其解 .  因为微点据说是行为判断。可以说是误杀的可能性大大减少了。
换句话说也就是我的木马运行以后他才判断是不是不明文件。 通过判断文件运行以后所做的动作来判断.  
我在本地安装了微地点后发现三个进程为
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
有了这三个进程 就知道了安装了微点了。 那么是不是我们干掉这三个进程就可以继续我们的行为了呢？ 这里我使用了一个叫做knlps的工具 只有几K大小 DOS下运行。  超级适合我们在WEBSHELL里干掉微点后继续运行我们的木马

首先切换到我们的knlps目录 然后执行
>knlps -l   列举出所有的进程
然后查找到

MPSVC.exe
MPSVC1.exe
MPSVC2.exe 三个进程的PID值

然后继续执行
>knlps -k pid   就可以终止掉指定pid的进程  这样我们就可以干掉微点的主动防御进程 可以继续我们的木马运行

不过还有一点就是服务器重起以后微点又会重新建立主动防御进程，这样有可能我们的木马又会被查杀，

对于这个出来把微点全部搞掉还米啥好办法


这种方法主要适合在WEBSHELL里执行， 因为前几天我就碰到一个服务器装了微点. 服务器没开终端 我在SQL里执行上传的pcshare全部被杀掉 所以才找到这个办法。 工具超级小而且稳定。 是个对付杀软的好东西

[ 本帖最后由 cnsst 于 2008-2-28 21:37 编辑 ]

汗一下 我是上周写的文章了。因为一直认为写的比较少所以没发出来。  图片我找不着了。 那个文件夹不见了等图找到了我一起发来

K，你个大黑客
对付瑞星这样的LM软件也就算了
微点这样好的东东你也不放过，令人发指呀！

微点确实很还。最新版本已经不存在被K掉了。 我正在研究中。 。

文章不在长短，主要是看是不是有干货。我喜欢这样的文章，不像有些文章太水，把水挤干了，可能还没你的文章长呢

支持楼主啊！支持楼主啊

很有技术含量呢