|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
@( a5 y5 y/ D% ^注:不考虑防火墙
3 n1 B* T* y$ t/ V/ A2 p0 M5 {, w4 f# ~8 m( F% S7 W
国产方面:
4 u' H. y" U, B; Q0 {一、瑞星杀毒软件# `# e" r; @) c+ F- B2 x- ?- R
思路:
/ I, z+ u5 c6 X5 B0 Y1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
4 i8 u; w$ c6 v2、释放驱动,恢复SSDT-HOOK,干掉主动防御
9 P5 s8 {4 L( g# ~3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)( l n' I7 C4 f; J
7 A; h R2 }9 Y7 W) v二、金山毒霸/ b8 F# W2 Y6 C+ P5 V
思路:直接释放文件,进行感染……
]1 ~. p Z- F
4 y% n$ e) }& `! H+ S. [三、江民杀毒软件 J% a& x5 `/ n
思路:* ^$ `# \8 r6 T
1、修改注册表,让江民在重启后报废
% ~3 o t5 p' W7 h( k# e2、释放一个自身的副本到非系统目录
4 B( ~( y7 M1 P$ S3 s) e/ @9 ]3、释放一个快捷方式到开始菜单的启动目录中
' Z$ l9 Z( H; F* g, D, @; N- I4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
* p( w2 ~$ Y# ^/ R7 f5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
. u, Z' P" H$ X: V
$ q& X! x' Y; [- a. x$ s四、微点3 P7 u3 h# A Z! {
思路:& C1 A9 i4 T* {1 Y. w
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……: F4 c+ T) @! r8 u' D
* L1 K0 \0 g4 r& K国外方面:2 A# G$ s" Q! n! b( o* B5 a
一、卡巴斯基2 @9 w8 l9 H! ?! b1 k0 X5 H
思路:
) p8 F1 _' T" s, r- }# x" I K1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
! m2 l' H- a2 P' y% \) j* J2、释放病毒文件,添加启动项,完成感染
+ z4 {. F9 [9 ]/ I7 v4 `" E2 F! G Y3 O% Q: L' ?" l; b; W; d
二、NOD32
2 ~1 a* b, C: M. |5 D两种思路:
8 k( Y9 }7 R1 x& \ J其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品* z5 ~4 N3 |4 b# b
其二,利用其自我保护弱的特点,释放一个批处理:# y) y! u8 H: A
复制内容到剪贴板代码:: A* ?$ k" x! Y. T7 U
@echo off
" c' _4 [/ h& ?5 T7 ?:try( x" r' W' P% u* @( w2 i( @, X9 [
taskkill /f /im: nod32krn.exe- k0 Q A4 L+ o& J5 M/ \
taskkill /f /im: nod32kui.exe5 F3 L9 `' L/ D0 E: p; }
goto try
: N. R S/ ~0 C* X3 D2 S然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
" M" V3 ?, K5 c8 U( S
) C' E2 ~; ~9 z; R. l三、小红伞8 }. V2 y$ b& \ E
思路:
6 e4 T4 n" Z5 K0 u, C: L一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡