下沙论坛

标题: 突破各款杀毒软件的思路,仅供讨论 [打印本页]
作者: 竹木刀    时间: 2008-4-2 12:32
标题: 突破各款杀毒软件的思路,仅供讨论
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。$ ]( U1 D/ V6 {2 f2 A( J1 ~: S6 }
注:不考虑防火墙& n' W4 w: e8 z, b; ]9 @! N+ j8 d
2 \. q9 M5 b5 ^' g' \! D6 \
国产方面:" i7 [. r2 k3 E8 n( W
一、瑞星杀毒软件5 w$ j6 ~! N( Y4 N$ B! B0 k8 ?
思路:
: B- e/ k# a# U1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)/ l. H2 B% v$ ^1 z
2、释放驱动,恢复SSDT-HOOK,干掉主动防御5 _6 k, G2 W5 Y/ w, J9 t7 \7 T
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
, G4 [2 ~1 W, ]2 Y. n0 |7 h4 F3 I2 W0 R. f3 Z& g0 v
二、金山毒霸
' C( w& E8 V6 k& W2 T0 ?0 k思路:直接释放文件,进行感染……$ o5 a$ \6 j; N

$ g: e" x* X" z6 L' Y% G, |9 U/ n- X三、江民杀毒软件
- [/ D% x/ ]# F& y* }- R5 T; E# u思路:
4 m! \' g1 ]5 u. J; D1、修改注册表,让江民在重启后报废# T5 h% f# o8 T9 _# M! ]
2、释放一个自身的副本到非系统目录
! H# Y8 _/ n( ]3 T! }5 U3、释放一个快捷方式到开始菜单的启动目录中
& W7 [( o( B- h6 o/ O4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
$ Z; }' r3 p0 L) ?5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。9 \; X! [0 [* V6 t6 h/ M0 H
% s5 Y- b' ^/ c" U1 _3 j' c
四、微点+ J7 q5 ]# h! f* ?& G' z, t7 E
思路:( j& g9 `7 T5 O; C9 N* y
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……. C; Q4 _: H* r( G- x/ M
& p$ ~' d  K4 U5 e  j) f6 g
国外方面:+ L% K( z, Z0 G7 j
一、卡巴斯基
8 D  s- p0 c( l3 `" v# o& C思路:
) \5 ?! O  z3 f% U- I: ?* r1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!& d( [" Q0 p4 Q( A  a
2、释放病毒文件,添加启动项,完成感染: j' c% T8 T) d3 P" u/ E  w# A( u& v

' J5 h# y; q! V4 m) X二、NOD32
3 ?1 B- Z( z; A  I" h6 c9 h9 K+ E两种思路:
; o  V% ?1 R) k! @8 k& ^' s3 S3 n其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品. d2 ]& s! a+ G8 R3 B' I! z8 Q
其二,利用其自我保护弱的特点,释放一个批处理:: @; L3 y' C# A$ C8 w7 S! S6 j
复制内容到剪贴板代码:0 U  i2 h+ J. r6 k% n
@echo off7 H7 `: Y3 t; T
:try! T2 i( G8 H' Y
taskkill /f /im: nod32krn.exe1 z9 U, [5 A& ?) ]3 K
taskkill /f /im: nod32kui.exe
/ G& |  ]& J! t$ hgoto try
1 J* N. e- Q& o& s. E然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
1 l0 [9 i: @" c: k# U% c( l& ^& `5 v1 B& E  M7 p
三、小红伞5 i/ k) f2 e* o. {0 @, l
思路:
& f& c1 m) H' Q6 Z2 w$ v一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。



欢迎光临 下沙论坛 (http://bbs.xiasha.cn/) Powered by Discuz! X3.3