|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
$ h p( f$ a) j4 v D注:不考虑防火墙
7 ?$ W# a/ }3 `6 y( G* H$ F& J* {4 K) G$ F. ?4 @/ D
国产方面:
' T3 v. R. H8 w) V N一、瑞星杀毒软件4 D' g' F, Q* b: Y
思路:) Y/ Q: w* G/ z+ n
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
+ l# m9 R7 \4 P% K2 L @" v/ j2、释放驱动,恢复SSDT-HOOK,干掉主动防御$ P% U' `, S7 N& y8 @; o' I& z
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
4 V# @5 r" y: G$ M/ P
, ?8 S3 @9 Z' V8 U二、金山毒霸
4 \7 F) U. S9 H/ T$ W1 I' |思路:直接释放文件,进行感染……
$ H% m6 m. p8 C5 a% j
3 Y; s2 B" U% | W/ ~2 m三、江民杀毒软件4 U$ J# ]4 c/ w2 I2 v6 L
思路:: u, c) p8 a! q( q+ _% S+ s
1、修改注册表,让江民在重启后报废5 c; ]% q' u1 m
2、释放一个自身的副本到非系统目录
" H( i' y* E2 O3 l2 j) X4 v3、释放一个快捷方式到开始菜单的启动目录中" R8 |' t" {6 L
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启) A5 I3 {6 i' ]4 L: T! ]. K& n, z( L
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
' F8 E1 u* J2 ^9 b: E
! x1 C: U) s- J四、微点1 W, K; I3 Y( K3 v
思路:$ B& N( V5 a; p0 N' z- E; d l
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
# m: w' E# o( R Z; {! D1 e3 S8 a! b# ]% \8 N* D* V
国外方面:
2 J# s3 m6 ]& P; k$ H) g一、卡巴斯基
$ \# T" [6 L2 S: t5 U1 k思路:/ O& [$ c b- l4 a
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!. q+ i7 \5 u* B# B
2、释放病毒文件,添加启动项,完成感染
6 }0 y( X1 ^2 G4 ?, N* _. O
- ]. ?# c9 [4 m* O; z& j0 _$ d二、NOD32
! k1 J- {0 }- w两种思路:
' c7 x% z/ W; y9 M, A; s其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
% t$ E9 [# Q1 p: [4 t其二,利用其自我保护弱的特点,释放一个批处理:
9 s8 u* m/ [$ X* [, Z复制内容到剪贴板代码:+ Y. ?1 ?$ o2 C. m
@echo off! o B9 M& X- x* |. V: T5 u
:try
7 h8 Z' j5 f, q8 Y- Z( @taskkill /f /im: nod32krn.exe, d. y8 ^+ r5 Q( D+ m$ l1 |* A
taskkill /f /im: nod32kui.exe' `2 D$ }) e/ h$ i. M9 o
goto try
. a/ M9 E6 S9 d2 e; M$ ~* Q然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
7 I# t# d- q* c$ Q2 w
! {$ ?) v; ]6 _三、小红伞
, V- r; Y y, A( h思路:; M! `, {7 o% {: L; W
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡