|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
! n( A* H7 Y; G& W* k注:不考虑防火墙% }' Z5 F" a' z% `! p
7 s; H; ^0 y# D2 d- R( ]* W国产方面:
' \: l0 {3 L/ \/ n; [ T$ F一、瑞星杀毒软件# W9 ^2 d. S# B: u) K
思路:% ]- N \; l [; H: u
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)5 R1 L) W2 V+ e( l
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
1 ^) [/ {) Z4 X) L( ]& n3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
' W* T. W2 d# o( _6 H; y1 W4 k4 n: Y- y, u* ?2 c
二、金山毒霸# {( E$ @* j8 a9 s' D
思路:直接释放文件,进行感染……4 M* ]$ p& B7 }% J4 a
4 v! ^: V% h+ P }; l1 x" Y
三、江民杀毒软件
7 w; {0 ~% ~+ v/ A思路:1 |- P1 I1 @# B0 L2 @" h
1、修改注册表,让江民在重启后报废/ d# ?. E; p1 V
2、释放一个自身的副本到非系统目录
6 O/ f( \2 }/ p. c5 N4 r, F4 q3 Z6 ?3、释放一个快捷方式到开始菜单的启动目录中
( C3 [. D% d1 z7 q: V4 S) y2 g. u4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启+ j/ i) Q, A' j0 U+ M
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
; V( ?/ w D( J5 h1 p
, c5 h. x: w: F. u+ [- o- E$ x四、微点
f o3 s: g5 V: E思路:" z1 j- \0 G) a( F# j# k6 A% o
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
; J0 U& i6 Y& }8 u2 M, z
( S! U& W9 G* O8 \& p; H3 C国外方面:: e, `- ~- }; M! ]" f& X
一、卡巴斯基
$ J8 Q3 J" d- ~! Q7 x: d思路:
4 N/ [5 T5 O- ?7 l+ V1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
( I5 s- X' {4 q N2、释放病毒文件,添加启动项,完成感染
: K; T4 A- j/ @$ T
; P I$ X4 C: H/ ?二、NOD32" t: x/ r2 m9 _1 ]
两种思路:
& j4 J( U( G1 |! ~) v其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品7 p% v3 w( o. h6 {$ m2 x8 `3 Q
其二,利用其自我保护弱的特点,释放一个批处理:1 h+ ^- ^7 o( m+ h/ Q! M
复制内容到剪贴板代码:" Z: O( _! X$ y
@echo off w8 U2 F3 H1 O. T" P- ?
:try' A8 f! `+ \8 B+ Q0 P
taskkill /f /im: nod32krn.exe- ?8 G3 R3 J7 ~+ x
taskkill /f /im: nod32kui.exe) @* q! J" ]7 W
goto try
1 B: y1 ?- X9 Z然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。* O3 ^7 `& q3 g( z; [# V% J5 Q0 h* H
7 K5 Z5 I' M$ |6 H% U* H三、小红伞. N1 B* M( |5 y |
思路:
) o( R9 ^: C8 V一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡