|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。5 N2 b, O, f' R6 L
注:不考虑防火墙
2 ]& P1 P0 v6 p8 ~) q: m+ w# e! v; I2 Z5 R* z
国产方面:
# C% D, ?1 z# p4 p一、瑞星杀毒软件0 v( ^/ ~: u2 j7 z6 `
思路:
+ {8 @: ?& v# z7 `. Y$ G) |5 O$ d5 A! U1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)4 g+ \: u3 ` V8 h
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
7 I* g9 P) v* `2 R3 T4 P3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
d; K% q! Z' j! A( Z; z) Q' N& T- Q7 @6 n/ w
/ m7 K) ^$ i* y$ q0 o5 S二、金山毒霸- a$ e9 T/ _6 P8 y& I
思路:直接释放文件,进行感染……1 [1 e0 X+ k8 j9 E5 _
6 z$ L1 G: `% D; h! w! F三、江民杀毒软件
2 Y& P2 J9 n2 ]思路:4 @3 K3 ]; Z! s
1、修改注册表,让江民在重启后报废
, o) N! X6 e, w" ~9 r" X* G- Z; f2、释放一个自身的副本到非系统目录
( y) ^; n2 _) B9 Y& }3、释放一个快捷方式到开始菜单的启动目录中
& t. }& o+ {" }8 F4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启+ ^. h& H$ f% B
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
. A& U3 U2 j) T/ _2 y% g
6 j& E, @# N# n. c1 }& t* a四、微点
4 T8 n# l/ T& @ d+ t思路:
& Z9 _ n4 K0 @1 Q, I- T目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警…… l1 O" x: P* m8 A; y4 ^* U
" R4 h8 c: v& t/ @' t- r+ X' D; a
国外方面:5 @% R& N3 Y6 p
一、卡巴斯基
& \+ ^5 k" w3 i0 o# |思路:
; H* G/ i8 \8 q1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!+ R1 ]! `( O! y
2、释放病毒文件,添加启动项,完成感染- f5 J7 Z8 ~( W8 L1 l
" v% S' T# ~3 Z7 h9 r6 c4 a二、NOD32
! X' x8 u9 o0 G; Z) ^+ Y两种思路:
" ~" _9 j# _5 ~9 y其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
6 L. `8 S1 t2 H- x0 B8 q9 n其二,利用其自我保护弱的特点,释放一个批处理:, ~$ ^* V) q! A
复制内容到剪贴板代码:
& c, w3 D4 m, V! T@echo off
( h% c0 D1 V9 `" I, t:try
- g8 e4 k+ B+ r1 V/ Qtaskkill /f /im: nod32krn.exe
2 Y! H) D: r7 x6 [6 R& o% {taskkill /f /im: nod32kui.exe
4 f( o; i4 k# igoto try
$ }6 B5 b8 m5 x9 Z: }然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
, `3 n( K+ I' x& L# K9 T2 X( H$ A1 w0 u! y% f6 |( e
三、小红伞
$ a4 U/ ` J, E4 R思路:, f: S8 e* n7 j' q/ l# l
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|