 该用户从未签到
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。6 C4 D. [) e! X1 ~
注:不考虑防火墙7 b' B" I* ]( x& `
6 k, `8 W" p7 |! A
国产方面:) J P0 Z8 m4 m0 x
一、瑞星杀毒软件3 K# F# g# c* p5 H6 o
思路:" F9 W1 S1 r# f! b& o
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)4 M1 I/ O' `6 a8 x/ `
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
4 W9 c, d% k/ @( C4 D# x# D3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
5 d3 b: f! l$ F [7 l0 [2 a) ~! y& {1 ^
! S- N( B( u+ {! Y, u+ n _! r二、金山毒霸2 Q; f. p* @ z# o& |6 ~
思路:直接释放文件,进行感染……( f$ r4 g- t: z: F4 V- M
, ^& f% x$ J. {+ i0 P三、江民杀毒软件
% q) F: N# W @: ]% o2 M" h9 D思路:
( v( t+ E* j% C2 ], r1 c1、修改注册表,让江民在重启后报废) Z: X" r7 Z% k9 J C
2、释放一个自身的副本到非系统目录$ y( Y( `# ]4 p
3、释放一个快捷方式到开始菜单的启动目录中- Y7 h4 q" s: o
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启1 w& {8 j% r: l2 l' u" l
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
6 d1 G$ t W; O# e- C& Z; R! j$ J% n2 M/ N* y
四、微点# s7 C$ R) K2 ]) g) B6 ~
思路:) y; @) `# |# ~" B1 K0 |& t
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……* k! ~: w: }9 z! R
( g: G: G4 J( v8 q$ k
国外方面:+ l: e8 C" J( Y9 m. s6 a* Z4 o; h
一、卡巴斯基
( L; g) X5 Q9 d j/ _6 m" {思路:
4 n P3 z; r5 I+ [* Y# _1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说! N; S# R5 `/ R
2、释放病毒文件,添加启动项,完成感染- L( E; |2 \! k+ _, H5 q
0 R0 c# o$ g! g- r
二、NOD32- O! X; H8 c l2 v+ s; I
两种思路:
, A9 q/ B0 b2 X) n0 Z+ i其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
* X1 |% L- Z. d其二,利用其自我保护弱的特点,释放一个批处理:
) S% p9 |% M& b8 c; P, H" N! e5 B复制内容到剪贴板代码:
: ^" Q- J2 ]' T( V7 T5 m8 _@echo off m# ?0 D# c1 P% g" F. A
:try2 R$ w& ~( |& `4 E
taskkill /f /im: nod32krn.exe4 g# B% @' e$ F+ s
taskkill /f /im: nod32kui.exe
3 n: t4 v$ d9 Q9 r2 ~4 d; P. r! {goto try8 V0 p+ }7 J. ? D) A7 w( Y( f7 O
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。6 B5 a1 r; W) Q# }" T
: ^4 R# b# k$ Z
三、小红伞0 f1 o' p6 r9 I$ [, K z
思路:
6 `/ U0 T9 z$ M" }/ \' |7 } o; B一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡