|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。' b5 G% R# z& F g8 u
注:不考虑防火墙
. u" |! r+ H& |8 u, X8 C2 |& @# @/ ?5 ^( ~5 }% K) \ ^7 l( o
国产方面:, H% z& L3 Z. ]( Y# t
一、瑞星杀毒软件9 o: `- Y% u& L% i; K3 e2 N) b
思路:
5 D6 C( d' m: C' o" Y1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
' K! @9 I" Z8 p% p$ q& l2、释放驱动,恢复SSDT-HOOK,干掉主动防御5 p9 U, f8 p, e8 z! Z4 h
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
1 V" r9 Y/ x; B/ F4 M% e
) q/ x/ Z$ o1 ^7 p% e二、金山毒霸
6 B/ @8 e2 Y% L! b) Q* M$ J思路:直接释放文件,进行感染……! d9 S* ?* [8 X
" x) @3 ^! c$ A1 I) j. [. W# A三、江民杀毒软件6 D$ M) V, q8 z% ?
思路:
, e+ h* P' |/ @9 B6 B4 B( }1、修改注册表,让江民在重启后报废
+ a @, L8 `. J" {: W2 J$ t! F# {2、释放一个自身的副本到非系统目录3 D& ?! n x& y( x+ J
3、释放一个快捷方式到开始菜单的启动目录中& ?9 b8 h' \3 V# S0 Q0 D) k' C) v4 z
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启* N: Q3 G @" T0 b7 o4 G( c
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
- V! t6 Z b' v Q4 f. o1 [/ x0 ?( G' @8 N6 w' P) R
四、微点! n: V+ O- V% D* b( T
思路:3 j& c3 s, c2 [
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……: m$ w. f+ ^$ h+ X( V! l* i" w% ~
- K" G: j r6 T/ T! W1 ^国外方面:
p( q# W8 w* t. V% g' |& _一、卡巴斯基+ i! k2 N) {' |8 ^0 D7 R3 p
思路:" g) e; a" V9 @: m8 ]+ F
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!" r$ c# g$ k q4 R* p
2、释放病毒文件,添加启动项,完成感染7 h% c |/ B, ?+ T
, ^8 s, i2 A9 ?二、NOD32
/ s5 u) S: Z! J) [两种思路:
5 N$ c. R& \( z7 t# s; d: s8 T; y其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
. z3 w! y3 P3 t) z# O4 Z0 L其二,利用其自我保护弱的特点,释放一个批处理:
y) z' k6 t" }( q复制内容到剪贴板代码:
9 M2 V- f* O K/ X! m) U@echo off; U8 b, d1 y8 J8 J t# ?& v1 D! y
:try7 p# q# g' B/ U% \
taskkill /f /im: nod32krn.exe
% h T! b* S- [* g, S' {taskkill /f /im: nod32kui.exe/ t, K+ g j- Q0 g8 h/ b/ o
goto try
& V( ^6 N+ V. b" X z然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
3 L2 Z w. Y }+ y# r$ [
( Q/ I0 p! p2 T% w+ \+ _) A2 p三、小红伞
' m2 J2 J" } J, \3 w; W1 @思路:
& [! }; o! y A! z6 V一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡