|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
/ ?8 {# A9 Z; S$ ]( m注:不考虑防火墙
/ y5 m. b. E, @0 S. f+ l( O
g k4 M3 y% J: w* O# O" y+ }国产方面:. Y+ Y9 \5 C: l: F" s8 ~# n3 A
一、瑞星杀毒软件2 {+ F. ~) f7 l5 H, N8 e7 E- l& }5 m
思路:: E9 H$ m6 M7 K( L' G
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
8 S( W! }/ R% J2、释放驱动,恢复SSDT-HOOK,干掉主动防御
1 m9 A& B4 c1 s, W+ U! a3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
; J" U6 z6 O: W' X' r( m t2 J# y8 H
二、金山毒霸
+ ?6 A: e, I$ M3 V4 y7 U9 p思路:直接释放文件,进行感染……
z: }( y3 q7 j0 f: T |4 S0 a: g3 g) A: P
三、江民杀毒软件- V& k9 c; h: j" b, A( H
思路:
% z) {- p2 t! A N, d" K( v1、修改注册表,让江民在重启后报废# D# A+ \" r6 B' _9 D
2、释放一个自身的副本到非系统目录& w- _+ R8 ~3 F9 i
3、释放一个快捷方式到开始菜单的启动目录中
& m& y# R- T' n7 b' l1 `2 g: g+ ]4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启5 }; \: z9 n, D1 m
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
4 m+ H# M ^0 s/ Y! t# Z! a
; Y! o2 N, L6 I s0 Z* O四、微点
( p% D9 \* C; k- z$ o思路:- C. Q& |1 N# l# n- ]4 ~
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
( B K# g, f4 d0 C/ h% e8 h
8 L, I% g) Q- g! c0 L9 U国外方面:
4 k* ^- e* @7 @一、卡巴斯基
' V7 q, f8 ^+ e- V) X思路:
( A; ~: s5 z* M1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!9 e, |* `' z. ]" @
2、释放病毒文件,添加启动项,完成感染$ u4 [. ~- W7 s- x; G3 O
8 w! Z" h* X% I, G: ~6 Y二、NOD32
5 [5 I. @, m( Y+ f两种思路:4 [" f2 B9 s. n7 d7 n6 C6 A
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
$ W# o% R7 E" g! }# G+ m0 \其二,利用其自我保护弱的特点,释放一个批处理:
8 L4 Y+ h/ S4 R- P: c复制内容到剪贴板代码:3 W* J' n0 X" `, D9 L; T n& q
@echo off
. _& o, h1 {" r1 x3 [5 o" f. U1 `:try
4 H/ h7 A5 \$ Q3 e1 u7 r0 B) _; ftaskkill /f /im: nod32krn.exe3 D3 M; e8 i5 D/ q* e; \$ ]
taskkill /f /im: nod32kui.exe
; U2 {. O6 c7 C- [ V0 q& pgoto try$ X" V1 z2 k' ?# \5 c9 p
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
, h# v0 A# f4 t0 v- [: \
1 C$ t4 O9 |7 c+ M# Q% b- T三、小红伞
; V: i X& Y, q2 k/ H思路:$ D @9 r; P& R8 ]* E- w
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡