|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
# e# m! A/ G) T* u0 P, G8 {/ J* i注:不考虑防火墙% W3 R3 R- b8 W. l ~
; y6 Y ^8 f, F7 T; |0 G3 y国产方面:
3 v! e7 {: {$ X* Z5 h4 S/ ?一、瑞星杀毒软件8 K2 j5 m6 K& W4 F. ^ u, n* G- z
思路:! r+ b9 j; X" Y& n
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)2 [# ]7 E' e3 f# ?8 r5 P4 F
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
5 }! ]( c, p- b3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
4 w1 [& d9 V3 u( h: J7 t) m, } |1 l) O. [0 D: V& n( b4 t# z2 f
二、金山毒霸. i# d5 _. u y3 M- l0 M1 V
思路:直接释放文件,进行感染……, m. R# ]1 N: i' j9 Z$ U6 O
* J3 R8 X" V" U
三、江民杀毒软件# g; N8 c) O3 I* [9 f/ Q
思路:
( ]8 I+ c3 G, ^0 L8 A1、修改注册表,让江民在重启后报废 b1 }! i. h: V- b
2、释放一个自身的副本到非系统目录
- G7 {" x- T5 N ]8 a8 w( o2 ?2 o( `3、释放一个快捷方式到开始菜单的启动目录中) Q% O& V; k0 y7 r& E* C2 {
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启% H( f: \2 j; r3 v
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
4 ~+ Z& Z9 c+ I9 }0 G/ i( @+ w6 h" S+ N
四、微点) F3 v* ?5 z5 }3 [
思路:
1 ~. R U6 {4 y目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警…… M- D" `9 H$ R6 B8 z
/ E' V6 I( d" F m
国外方面:
; `% }% {8 I2 s6 `% |5 q) ]一、卡巴斯基
' C$ {- X; J7 e6 w' q, ^' C/ S; r思路:) ~3 e5 q z4 k. s" B/ E3 f+ w
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
5 _% c0 E. @. s% P+ Z/ j. Y2、释放病毒文件,添加启动项,完成感染6 Q$ @: j& J8 ?: a( |+ d
1 E/ W3 w+ v2 U8 w6 a; U
二、NOD32
3 F" D+ y; f3 K" y- n两种思路:) _7 F" F8 W; s. O1 b
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
. ?; \, q! V' V" d7 q0 ]( B其二,利用其自我保护弱的特点,释放一个批处理:5 c U1 T6 [9 c. A+ c! ?
复制内容到剪贴板代码:
, f u3 c' c/ W& ^. H" \. E# V@echo off% ^0 J" i0 J* @2 E, F8 q
:try
& |' T2 U) w F1 |) utaskkill /f /im: nod32krn.exe
! l. c4 g _) q" [" ktaskkill /f /im: nod32kui.exe. F6 s* J! C4 J3 ?9 Q+ c- t/ l' h
goto try
& z9 v" u- q) t* H9 p: {然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
1 Q6 ~/ P2 Y$ y& ~0 Y3 Y% M9 J
1 G7 Q) j" W, I4 v三、小红伞4 K" U( s2 `; }$ v2 e# \- t
思路:
+ g& r8 l: m5 Y% t6 p `: H7 [一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡