|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
1 v- P0 r4 d& Z/ a8 H6 X注:不考虑防火墙5 g ?. v6 w& a" J4 I2 S# d
2 l9 Q8 R4 m$ ^, J* ?国产方面:
& c E0 c& Q* _一、瑞星杀毒软件- u* `& f7 f$ u% g; n% E/ i
思路:' f' @' ^! I$ M3 Y6 m# Q: j
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
X" X8 e- q1 {- r, n6 k2、释放驱动,恢复SSDT-HOOK,干掉主动防御! \# q8 R; E% T+ Y
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
, l' \0 [1 Y, D3 h6 \. ~0 i2 B$ ~. z. W! w
二、金山毒霸
' c& `3 B1 A3 |) x5 c/ @# r思路:直接释放文件,进行感染……- A0 ]: M% G+ O& E
: e9 {, `+ E# K8 m- }% R
三、江民杀毒软件
1 Q0 b- E4 C3 k; k. r+ N7 o思路:8 E& ?4 d; ^8 [! d- _3 v
1、修改注册表,让江民在重启后报废
# m* q3 y# a+ z; Y( x3 _) A2、释放一个自身的副本到非系统目录
) f: t8 H7 S% ]* v3、释放一个快捷方式到开始菜单的启动目录中
8 ?% c1 }" a( c% n! g ~9 Z4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
2 x: N7 g2 P. u5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
; F. a$ ~) i- G6 \3 A0 V% s; ?, K; D. ?4 H$ Y! m7 D4 g9 E6 i7 r8 g
四、微点
# ^' p7 P/ P1 O/ h, E% ]0 Z3 Y3 S思路:
4 u) i& b5 y" Y' m7 z0 R, c目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
6 m- ?1 y1 h+ f$ v! T
0 [" E6 R, W% U9 {# e国外方面:2 H9 N( B* O: \2 v; a
一、卡巴斯基
. V4 `$ V7 ~. r思路:2 v0 F: `7 q) G% r H
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!0 x' V9 `. G8 {# ~& `# Z% z
2、释放病毒文件,添加启动项,完成感染; i# K! m& g8 `
) O$ @ V r3 M. g0 z8 Y% O
二、NOD32% A$ D6 \% e2 Y8 o$ V- E/ m
两种思路:# Q$ }! u% L6 N/ i8 W
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
* j" }" u& z4 ~ h其二,利用其自我保护弱的特点,释放一个批处理:2 q9 w3 l9 C* U7 b! i5 P( e: I
复制内容到剪贴板代码:! b! x) u3 C/ m+ P8 j
@echo off' |- ~+ ~" s7 w: Y+ ^1 A( P: H' r
:try
$ _6 H2 h( N& z6 X9 |taskkill /f /im: nod32krn.exe) [& l; ?9 `$ ~ P4 Z( x
taskkill /f /im: nod32kui.exe; K; H& k" B4 e, z, |; v
goto try, {3 ~; H- A E
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。4 k5 \ j; G5 G* f% l0 j
7 q! f% w2 v3 Y% d三、小红伞4 y1 N9 Z+ R, G F
思路:
1 b2 p. v; q1 _0 I: k1 N一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡