|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。% ^- X) ?1 @, _- a
注:不考虑防火墙1 x, [* |2 \7 Y$ G; e- p/ `9 K
2 X8 N) f" H1 I$ M' N国产方面:
, |$ B: v9 h5 b0 I7 F$ L一、瑞星杀毒软件1 b) y; Q$ n9 f2 s# ~3 o- s' c
思路:! ~' D5 i! A1 j$ |4 L
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事) S3 v0 Z# |, @# ?, H7 n0 F
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
1 E. K4 J# _9 W9 @ t. `3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
! f3 J) A+ D; `% z3 X4 t
C: l+ V; R/ {" T( |二、金山毒霸
- Y6 @2 @+ U7 t: F1 L思路:直接释放文件,进行感染……6 [8 A, J) H% [8 z& I- Q: s" W
# ]# l; [ f' ]' S1 G* j* M! ?
三、江民杀毒软件
1 _5 \: H/ B( x z6 v思路:# q, g* z8 f/ T, }; h9 |4 g
1、修改注册表,让江民在重启后报废
; N, D: x1 S4 _2 c% ~; W2、释放一个自身的副本到非系统目录
+ @( O; q4 N. N6 Q% y( j3、释放一个快捷方式到开始菜单的启动目录中4 o4 l; h( w: a% A) U) V" K0 |
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启/ s9 @# O, [2 R" Z( h) i% a
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
. ^1 Z" G7 C: Q* g; A1 ]8 L& c+ y }& d/ C$ |
四、微点
; j6 s; @: A P3 z9 h: @思路:
5 t# U3 c [( J0 u# t; j/ N目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……, b8 p; U0 j* ?% s
5 |6 W8 a/ }8 x1 M \! H: u! V& U, q8 Y
国外方面:4 f0 m' e, A1 k$ a f
一、卡巴斯基+ ^1 ?* g1 h3 f4 ~- f! {
思路:
2 i/ `8 B' _/ l. F' R8 I1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!' w$ y. V/ V! {. @& E$ e1 C/ [
2、释放病毒文件,添加启动项,完成感染
" z4 h# S9 j) q* C4 ^
! \0 D+ ~7 Q+ U# D6 E+ i! [2 l二、NOD32
7 w C) |* x+ B8 e4 Y% G两种思路:
1 l D! Z" f7 k) M0 y* o6 C其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
/ y) Z0 q* j/ `其二,利用其自我保护弱的特点,释放一个批处理:7 r' F+ m: ]* l+ V
复制内容到剪贴板代码:* n# g4 d6 \) m @( q6 s
@echo off+ o" m% O- ~3 p1 c* w2 ^5 k1 v4 Q
:try0 }6 b4 o+ P2 Q4 H; [; w
taskkill /f /im: nod32krn.exe
) U0 a! |0 D( K( J% r x0 ttaskkill /f /im: nod32kui.exe
+ j+ Y0 Z0 K/ r. p* jgoto try) G8 B8 E' S, m2 ?: i9 w! M5 j
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
# z+ j+ ~* Z7 V8 j9 O3 t6 F0 R1 B/ @ O! q a6 z
三、小红伞( |7 J) w- @. p* a
思路:
. ]) K- x/ X: Z, z一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|