下沙论坛

标题: 突破各款杀毒软件的思路,仅供讨论 [打印本页]
作者: 竹木刀    时间: 2008-3-21 17:43
标题: 突破各款杀毒软件的思路,仅供讨论
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。' {0 x, D5 ~5 }: W& A9 ]( U
注:不考虑防火墙
. C/ q& E' D* W5 A7 v1 M- |8 A( t7 R" |. B8 C
国产方面:+ q2 M5 a6 h" r# D" F
一、瑞星杀毒软件
7 K9 }2 o$ X  N, F( {- M+ c* q思路:7 O! z+ J9 e. `$ C
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)% W  X7 u8 e7 g/ m
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
/ S, }$ y) j- N+ Q8 G3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)2 Y1 [: R: D2 ?4 i  a5 j( v% H' V- E( I! `

" W! s4 v2 U& O% }0 T二、金山毒霸; O9 f* C3 n- R! Z; Z3 c
思路:直接释放文件,进行感染……* _. X3 M0 ^: E/ B  Q
' Y% B( H4 u# ^7 I
三、江民杀毒软件
" \- P5 g3 `0 y* v/ z思路:: n9 d( a% P) T6 ]/ k3 W
1、修改注册表,让江民在重启后报废- S6 L+ Q3 Z5 Q/ _0 h. j$ {
2、释放一个自身的副本到非系统目录0 r; I- b. M; v! M. Z) K- K
3、释放一个快捷方式到开始菜单的启动目录中0 _4 x, H0 ^# r
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启' ~1 P: N% W! N: r2 i9 W3 q
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。) a% v1 Q' v8 m: w$ F) j; J
4 E4 B- {5 |9 B0 Y- L
四、微点. m) y: D4 a9 G
思路:) {7 ?8 z( A$ s( p/ f3 W' |3 [
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……0 y( H# U: Z& m. O8 E

0 {3 h. J/ N1 Q5 i  E# {国外方面:
& B) n+ N, \- B& c: `) Q+ f' h9 X一、卡巴斯基
  r5 U  z. g2 `0 Q/ T8 j, O7 U思路:
; L# c9 N- n* a! Q, i! G, A1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!; o9 Q: D$ T, `0 O+ I
2、释放病毒文件,添加启动项,完成感染3 S, u8 t# n9 }8 i& k

( H2 @) Q% m3 t% J/ @4 _- H二、NOD32+ y8 x3 X1 }8 R7 ]; g
两种思路:, }0 J. i. D4 }  ?4 C. Q) o1 v3 s
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品& f. X2 |/ B- h: M2 K% T
其二,利用其自我保护弱的特点,释放一个批处理:
; n0 D; \1 ]0 u6 y) ], B4 D+ o/ X复制内容到剪贴板代码:" o$ F; `3 c6 y; X1 [* K0 m
@echo off
1 K% s% l% |- B& n:try3 G1 i  D* g$ F+ m$ Z9 _; E
taskkill /f /im: nod32krn.exe
8 z4 c" z" c5 htaskkill /f /im: nod32kui.exe+ [- P$ w# \1 i/ z
goto try
6 ]  I9 t) G' X# Q' H% M) t然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
  w, Y7 M3 {3 o2 ^' d) F5 a) C4 W$ Y6 U
三、小红伞% L! n( e, ?, d( `/ j3 C. ?3 f. @  L
思路:- B- P' z* ^$ D" y+ X8 o# o
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。



欢迎光临 下沙论坛 (http://bbs.xiasha.cn/) Powered by Discuz! X3.3