 该用户从未签到
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
5 Z& _2 X6 w1 S. n注:不考虑防火墙
7 d3 Z$ W: A" b. Y2 \1 q5 D; h" {# x- C3 h
国产方面:
4 G( r3 B$ A& E1 T* b3 ^+ v! o; x一、瑞星杀毒软件: P; v. k% Q+ C8 m1 X& ?% ?
思路:
! P5 q, n r8 [+ c G1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)2 k; h2 O" c6 N% P4 s. Z2 H$ D
2、释放驱动,恢复SSDT-HOOK,干掉主动防御0 M+ O* D2 y( U! B4 T
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等): m9 U h. K4 n. ]6 `
9 Z' d0 }6 U! c9 _二、金山毒霸
9 e1 V `9 _ ?$ g) M思路:直接释放文件,进行感染……0 J6 f* Y9 [1 i; l% H
; t* O' a; B$ \ w" v" G三、江民杀毒软件. _0 w8 C" c' h* V4 d9 e6 y
思路:2 |) \- m6 F+ h; I% u% y
1、修改注册表,让江民在重启后报废* f- v% I- X5 C1 T- m( I: P2 ]
2、释放一个自身的副本到非系统目录% T5 ?% @7 a1 g
3、释放一个快捷方式到开始菜单的启动目录中3 F. S$ z( o8 I+ ~/ L( k
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
; ]3 m2 ]& a! @8 u5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。9 R b4 H0 E" u( x3 A
, k3 {% y3 L1 q3 o
四、微点
( B; M7 l# r' I& e! O/ U7 P思路:: m- p6 [* I; b: V
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
' O; u! S3 j1 Z/ v5 y2 d
- O1 ?, e/ D1 S+ R' u国外方面:
1 c+ q8 G+ }6 G! i$ g X一、卡巴斯基. ~. W O" j$ o: I/ \! ~5 `' z1 k
思路:! U* d0 h: A: z |+ k# m
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!9 q. D4 L1 R' @% m# ~
2、释放病毒文件,添加启动项,完成感染
4 A) E, e3 g, @: Y6 v6 X) B/ z( R7 p: E# i, A5 O" ?$ K8 e5 R( J6 K
二、NOD32; t+ U$ d( e) R6 G" O
两种思路:" e4 y* J- y6 r4 z2 W6 K/ i a
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
: w0 ]" E' ]/ y4 N) L: ]! S其二,利用其自我保护弱的特点,释放一个批处理:
& j/ N9 Y8 V& Y0 X复制内容到剪贴板代码:. q* `( y- N7 } i. F5 A: ]
@echo off9 o, t1 W* @9 R& ]! }
:try
) B0 z. @9 d' p" a. D! ^taskkill /f /im: nod32krn.exe9 Z5 t3 j- W8 z6 Q C2 ], O
taskkill /f /im: nod32kui.exe- ]* Q7 f: E6 N4 l1 Q) K
goto try6 B. k/ f) x, F& i" g0 L7 P: B, T
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。) T3 M# b" F) R M
, |7 U* [2 W, q" N' @9 K三、小红伞
8 \( N, Q% g* n7 z3 Q% N8 m* u思路:
" S. p9 T' Y; u1 e' g一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡