|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。 p( l1 u8 e, i; Y3 W$ M: _
注:不考虑防火墙, I( m! G/ v6 B6 v5 F. U
# h( X; ]% x9 {4 i& O/ T4 | }7 p9 J
国产方面:
! \9 g( v; E' Q0 Z$ k- h. B8 o- f一、瑞星杀毒软件
3 c0 Y2 V% v8 @. d- O# K思路:' c4 {3 C6 {0 i2 X1 V5 A! t" ]
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)1 u ^- Q; ]/ [
2、释放驱动,恢复SSDT-HOOK,干掉主动防御( t/ Z$ U: X0 h( J: V) S; w
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)! W3 A9 N |) r3 e/ F/ m
% H, [6 M* A& L4 Y
二、金山毒霸( m! z$ f7 U* q$ z% i* V
思路:直接释放文件,进行感染……
6 l3 m/ n1 w$ d) ~& j: V! D$ b# X% m v/ v) L" a
三、江民杀毒软件( g: [" V+ t/ B3 f! L. Z
思路:
7 C& G8 s+ c: g L. F1、修改注册表,让江民在重启后报废" `2 V( k8 \! U
2、释放一个自身的副本到非系统目录 S' }# H" E% Z; S7 `- n2 \1 R
3、释放一个快捷方式到开始菜单的启动目录中+ f8 |( Q. a; ]+ y7 c% P G. ~! P0 s
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启8 d1 E8 q$ y% |' I, i' @$ v1 Z
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。/ v$ [1 a4 u( C' Z6 c$ @
# w! O+ q5 |) p! m7 a* G
四、微点
' e9 b' B! \8 y; B: f' ?0 W* m思路:
; S: B& T# e4 y) @/ T目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……2 h6 F6 X4 {3 c% A- x3 v
n# j3 \+ P: S2 H0 x- Q) e国外方面:
B$ G9 G+ Q) j- F$ ]4 q一、卡巴斯基5 q* A" B" b" t3 P$ E
思路:
" H1 Q7 a2 s5 }5 ~2 I. M2 O1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
: m: i ~! y: |6 m! ^6 M2、释放病毒文件,添加启动项,完成感染
" ^( |0 A6 O# g. `* _' s* }
: c% B3 p3 \+ C V) f6 L二、NOD322 _& L- h2 [0 L) E2 }
两种思路: w! F' Y- I: W7 \5 ~8 D8 V5 p: c
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
4 o7 U4 D1 a% ?其二,利用其自我保护弱的特点,释放一个批处理:( e& v8 c* }& H7 m5 b9 E: ]
复制内容到剪贴板代码:! D6 i0 X' K2 K Z! G- x( ~
@echo off
* d: G/ ~: p# L. e$ k# i:try
) b5 {# K8 F# |& Ltaskkill /f /im: nod32krn.exe
' Z: j/ J0 L% d& z+ Ktaskkill /f /im: nod32kui.exe5 ?5 a, V, P4 i ]1 {
goto try, q5 a" T# \% Q! ~/ l" [6 }
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
9 |, c! T, W6 E5 H" S; u
& r" I' B/ R* \) ^+ [& @8 j9 z三、小红伞
3 ~* V# x, B$ D6 {0 r思路: x# j. u5 s! m7 k- d. Q. [4 k/ i
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡