|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。. n4 `# E8 b& F% _' Y, B
注:不考虑防火墙
2 [) \; l3 N3 T7 V& B7 [* Z
: R; f8 P2 e$ U8 `* Z: c; }7 B国产方面:: p* T% e x% l+ B* S0 `
一、瑞星杀毒软件
9 P A$ d7 m& s! K" L3 @2 i思路:6 O/ |( v. {- a( [, Q" b
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)7 Q( ^: {* K0 J4 r
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
+ G% j# H# G8 c9 E3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
1 I7 z$ |- s ?; C$ H |4 o. Z8 T
6 }# |9 x' Y( Z. q二、金山毒霸
( E: x" T) c1 c/ g9 _. r思路:直接释放文件,进行感染……
. S' N7 Q: ~- S' P; ~7 D1 @ @% L6 T5 _/ j- a; }, @2 K) q$ Z
三、江民杀毒软件
4 W" B! D+ Z: Y思路:
+ x8 ~* o. a, q: L G y) d- G# V1、修改注册表,让江民在重启后报废: U8 I! G5 m" H* R& Q
2、释放一个自身的副本到非系统目录# w2 D7 i, e( N) V& l% E
3、释放一个快捷方式到开始菜单的启动目录中3 t/ T9 R* }/ ~' }: V
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
3 z1 c1 r! [8 b4 a5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
& l% Y3 L g3 g3 ?; z/ Y7 R& w) e/ ?! _9 R3 y
四、微点
- r: A- R. g( H) B" w4 @8 ^4 o思路:
2 t O, j" c5 H0 Y目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
4 ?. x3 Q; i! M% o) o% O. [; l
S+ r$ y% K( b# U* A; e国外方面:
4 q8 ], h9 D" h( W D# i7 F& [) H6 t一、卡巴斯基% f ?0 d/ Q8 S
思路:2 x) K( q1 j$ g
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
1 |) P O+ z. p% X% ^# F) `2、释放病毒文件,添加启动项,完成感染( H! C" ?/ Y+ c
& p6 g5 ]1 e, R- z0 m$ }$ z
二、NOD32; `$ r+ C" a+ k+ I' T
两种思路:' b7 I1 ~0 J. H
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
# g! d$ _ k3 u其二,利用其自我保护弱的特点,释放一个批处理:
5 y+ @3 G' [: ^" m q) n复制内容到剪贴板代码:
6 ^0 R1 ~: w% {@echo off
- C2 E' y0 F R/ L, ?: Z:try
6 a# t# D* K4 s9 B3 [taskkill /f /im: nod32krn.exe: W+ p) |% g8 ^( D
taskkill /f /im: nod32kui.exe, B K7 O5 I) Y. X. Q5 c1 r
goto try T6 S B% o1 p! Z) t9 a3 ~' R
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
2 r; _9 I0 ?3 z4 D( L! c9 f
, y: [) q& k/ E4 r三、小红伞
- W9 H4 ], K# y+ k2 t9 ?思路:
3 g; ~& h6 h0 [( {4 R0 ~一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡