|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
1 x) X% F& B) A* K: F, [注:不考虑防火墙* Q5 C$ M4 V' D* A0 w
# e: r4 G: j; z: r( { y3 A
国产方面:7 ]+ q3 F' }! R. i& N) |- A$ `
一、瑞星杀毒软件
8 E: X; q' q% g; o6 P2 D思路:# q1 f0 j- K( e/ `: X$ l" d
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)& {8 Q4 P9 Q) a) ?- G5 d3 j
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
: O r2 ~+ W& {0 v: q6 {3 c3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)5 H+ c* s/ {3 g
- J9 f5 l8 T1 e7 t
二、金山毒霸* U; s. ~3 F# Q7 x7 [4 Y
思路:直接释放文件,进行感染……
) L1 L+ Y$ M/ d* v
+ ]1 l. }( l5 T, T: c n" @三、江民杀毒软件
% V$ T/ g8 R0 X$ r9 N3 g2 h思路:' t4 p9 V1 u; I' I) h1 V
1、修改注册表,让江民在重启后报废
" G4 R8 L* _) U( G$ D1 ~2、释放一个自身的副本到非系统目录
1 f) k: a* j) O" ]3、释放一个快捷方式到开始菜单的启动目录中5 x- ]" O Y3 H) {
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
+ V9 n) ^5 M7 `8 {, b- c2 U- R5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
; f: T7 t; \+ C( B: E6 e+ Y6 Y3 f }" J z" E+ k7 _/ ]
四、微点
6 p3 J4 e1 k. R5 p思路:
6 E' f( U; n3 J( \8 N$ ^- Q目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
5 w6 @% o. j. ~# k+ u3 W
& b6 c5 Z/ T! |9 ^, F2 B国外方面:4 M2 c- H( b" W6 g# ?
一、卡巴斯基
G9 K5 g. V" G) W思路:, Z" t+ Y- t8 ~: p' N! o
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!' V2 K3 ?+ O( b1 i& j
2、释放病毒文件,添加启动项,完成感染
5 k: \" T( p3 w7 Y9 Q! o$ @
6 |/ c* H& I4 c r' L; G9 f二、NOD329 m1 `" R @: ?/ r/ k9 S
两种思路:
; C0 b+ Y2 J* _其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
' h3 e% Y8 q- @5 R, `. [6 _其二,利用其自我保护弱的特点,释放一个批处理:
8 k# X; u0 Y9 Y复制内容到剪贴板代码:: w9 V; e( K, A$ T* \$ F
@echo off
" ^+ ~0 ~# j- k; C9 ?8 s:try
9 b" l- z( J& S( l8 Ttaskkill /f /im: nod32krn.exe
- U( B* o3 m1 ?taskkill /f /im: nod32kui.exe
3 D& n7 C, O$ D1 z! g5 k; [! N0 Bgoto try
4 u0 E: N+ V, L9 F h然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
) e9 }% J6 ]7 Y( x5 a5 u$ |) @- ?: O, J
三、小红伞4 z+ g3 B" V9 e( n
思路:" T. d. r! d. }6 I1 g/ i
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡