|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
& D. x9 A2 _4 ]4 K9 p注:不考虑防火墙
" [/ D4 I& v- {( p0 L; w
4 ?* w+ w& A7 I5 I% p1 C; I国产方面:
0 ` P" x/ Q1 y! x1 C一、瑞星杀毒软件& {. p; ^( k$ I, R9 J$ H
思路:1 S/ v) L) h7 G' u' K4 a$ R
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)$ a! P8 P( u3 G% G
2、释放驱动,恢复SSDT-HOOK,干掉主动防御4 r$ J+ j/ D0 @+ U
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)0 D) O2 q S8 ?5 [! ^! H
/ i# L0 ?5 }+ S3 M2 j \& h$ Z* ^二、金山毒霸
; T- P! c% L$ m. M q! j思路:直接释放文件,进行感染……
) J: J3 g6 f2 R5 f- p7 v3 e8 F O; Y/ z6 j7 c: ~
三、江民杀毒软件% C. ]. [" V6 F1 p$ q8 V
思路:# w! t9 P( R* v: N( H. ]- D
1、修改注册表,让江民在重启后报废
4 W* I. ?9 ^$ y9 `% S: R* C5 ]$ q. ^4 Z2、释放一个自身的副本到非系统目录
) l/ G# S' t2 i3、释放一个快捷方式到开始菜单的启动目录中# C* l; |0 y! W% B
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
, u! _3 H0 [! Y: C5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。. A- c9 N n% a, x
5 J8 L- F1 I# d/ v4 u* v! Z四、微点
# P7 K3 P D" Q( z t8 j思路: a' |" i( L( ~% G! w4 `
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……; _9 x8 M+ s0 n) r
1 f3 h+ b7 m( M& M7 h$ n: ^
国外方面:/ O* T* t& @- [8 N& Q, ]
一、卡巴斯基$ x# }. m& e6 f8 r/ E
思路:
' i+ O( z1 B" N" W, Q- C! {& _- q/ y/ _. O1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!, {7 `' q: v1 A d: s! Q; P1 N
2、释放病毒文件,添加启动项,完成感染
( H5 `- g! n5 I2 i7 F( y5 s" B" T. M% _2 v- J) q7 ?! B1 a. b
二、NOD32! v/ ]1 M& C" f/ K+ ]2 {! u
两种思路:
* {& g8 ]5 D6 }# o0 t其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
I' w+ x A3 T% g- r* R1 |9 i; M其二,利用其自我保护弱的特点,释放一个批处理:% L- t1 G: w- z, p4 h B9 A9 Y
复制内容到剪贴板代码:
- {5 x: y1 ^1 i. S+ t. R2 A# [@echo off
! g& I4 \+ \# z5 @2 e7 }$ W; w( ~:try1 V0 A& T2 |) B L" V
taskkill /f /im: nod32krn.exe4 F1 ^) ^4 T+ C$ w0 Q% [: O% i/ `
taskkill /f /im: nod32kui.exe) R( _6 T6 k* A8 [5 _$ U" g0 O
goto try- z/ A' P6 G/ i# L9 d
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
1 Q: p- M; r; ?& O, j9 S3 H1 s8 z0 X3 E) D6 m
三、小红伞" j8 l) l% S/ v& p6 `: I6 }
思路:
6 X% B& p- W2 z8 o ]. ~ _一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|