|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
1 ~; M& J( C8 D$ i" U6 L; h注:不考虑防火墙
+ W$ B' w* r$ r8 M; |4 b& R% X6 q" U
国产方面:
- P! ? r$ j+ g. m一、瑞星杀毒软件
3 {# ?1 m" n* i/ ~7 q5 F) E8 j思路:
+ m5 V2 [. W2 X1 ^1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
& [( A' h* A; C$ v$ X2、释放驱动,恢复SSDT-HOOK,干掉主动防御
9 n" G+ I; Z6 l# H+ J2 _9 H% A3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)- c. | r7 C; f, [" y, P
+ x7 b% D, \) N6 R
二、金山毒霸
# y( i3 L$ a2 ]( p9 |) D; p ~思路:直接释放文件,进行感染…… S& j2 h! N% s& I. p' g# S
. q$ }% Z0 K' r3 F) y$ \
三、江民杀毒软件
; j. l+ I$ L( p6 O5 _ r6 w: A7 A思路:
. D4 P3 J! g- W9 d3 B4 `1 C; M+ {1、修改注册表,让江民在重启后报废
7 }0 {! J9 ~" k( B8 |& }& j2、释放一个自身的副本到非系统目录) T4 G, B7 v; h5 h
3、释放一个快捷方式到开始菜单的启动目录中
# i9 s+ P# z' V; h0 z. ]6 S. f4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
- i1 A" w& ^+ R6 w+ k0 q) F5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
) Q* o/ [0 u" z' ?" {: Y; i6 B; p9 S& Z6 p% a
四、微点1 M+ n3 t7 ?* k# Q* D8 X
思路:2 z ]" ?5 k# \7 p0 a1 s. u& v
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……9 q$ T, M6 Z% Q. v% s
+ n5 M4 T* ^- x" a国外方面:
6 ]( J* D0 A+ Y; ^5 {+ U一、卡巴斯基5 l# e3 D# E/ Z+ }3 y1 U' }# Q
思路:
% t7 J; |. l& G8 K. |1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!! h. S+ v/ P; Y' \
2、释放病毒文件,添加启动项,完成感染
; Q1 Y4 M' H) H4 \4 s
7 _% V! b' I ?, j; Z8 B二、NOD328 b! \+ e; p h# @: A
两种思路:
' L! g2 D% y! J& ]- m4 V其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品' f% f7 I: y& F
其二,利用其自我保护弱的特点,释放一个批处理:
/ I: j I) M) s$ x2 Y" L复制内容到剪贴板代码:0 {/ a- s! o& r1 z5 ?
@echo off8 ~! l0 N$ Z: O* ?! C3 C- v$ M
:try" @# w$ o2 a& Z9 d# c# k% G- o
taskkill /f /im: nod32krn.exe6 _! o0 r( \, o6 E+ c; e. k. b
taskkill /f /im: nod32kui.exe% y$ B t9 D i: M
goto try6 M$ @1 U: F4 j- V: q
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
8 R. z& M/ z( s$ O7 s4 i
3 j0 z% b4 k, k$ f三、小红伞, i+ C* {* I" `4 u
思路:
4 ^& ?: m1 l# i, s6 W; n一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|