 该用户从未签到
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。+ C! A$ T" q/ m3 W1 S# B
注:不考虑防火墙
+ Z. L$ X8 Q8 r, h! g* _( K) I+ r/ n( w2 W
国产方面:
$ @% F4 P7 `: K2 N( v% |一、瑞星杀毒软件
+ e3 _( s1 _; t8 z; ~7 H思路:
1 l( N1 \- m2 I; B1 g8 M5 g) Z1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事). m! w/ x, u. T; P
2、释放驱动,恢复SSDT-HOOK,干掉主动防御. U9 _) Z+ g& J' X4 U
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)8 D/ l" _6 x! J5 E5 L" [, p
# ]' c0 p6 p" z& S+ K二、金山毒霸( l e# o$ T6 h9 ?
思路:直接释放文件,进行感染……
$ w2 s+ K2 f- t& j0 U! K, P3 |4 o
) O) h& z% W |1 U' b6 P, N三、江民杀毒软件
' G9 I. r4 }/ B思路:: W0 p# ?: U( g; E
1、修改注册表,让江民在重启后报废5 @& M! n7 x: r6 h
2、释放一个自身的副本到非系统目录3 Y6 l( y6 g+ h' w* u, v
3、释放一个快捷方式到开始菜单的启动目录中
. p$ n- F W8 F8 i9 ^ n4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
0 F) Z0 k* k% B I% {5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
" h8 B& Y( ~, O. y# e
( G( @4 K0 @; \. I, `6 Q四、微点' a6 X P' O9 ?/ @7 y" y; b
思路:# [% v7 u' w& A$ x; J/ L+ \
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……6 f \, Z4 d- a% K, B& L
: r$ z2 I4 h Y$ H" ~+ p国外方面:
& i, e$ I( ~/ P, D9 T! m. }一、卡巴斯基7 Y0 q+ @' Q( Q" {* c
思路:
( H M% \$ _1 B% x1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!, u+ G& b8 @+ W- l+ j& B
2、释放病毒文件,添加启动项,完成感染
) j, z/ W# h; {. W; \8 U4 j5 v1 Q: I; u8 h4 b2 K% s0 E9 \2 U5 E
二、NOD324 J( R- K, H$ g+ d( z: A+ Y" ?
两种思路:
5 y5 ?; i- I5 p+ \1 L4 R其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
5 u" ]; `, D" V其二,利用其自我保护弱的特点,释放一个批处理:+ I: q, J5 k* s6 ?$ B1 l3 ]5 l4 U1 Q
复制内容到剪贴板代码:/ _& t( L' E; g7 H0 s9 U
@echo off2 h' z) L: ~) B: b0 H
:try- F6 b. \* b% }2 m1 J
taskkill /f /im: nod32krn.exe2 s2 u" X: f# g$ m6 k
taskkill /f /im: nod32kui.exe
# m- V5 c8 }) W4 \) _goto try9 R8 A+ k' C% a; v. l$ x0 {" {& \0 W
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
4 @2 M6 t% F1 C' w" p: e
. T/ z! L1 g v. t4 l* m8 s三、小红伞% P0 t+ ?$ h- c$ l \5 S" {
思路:" L$ x/ |2 Y" r0 E
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡