|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
) G. r: J4 J0 U7 L2 ]1 J注:不考虑防火墙
% L* Q7 ]0 x4 u! a/ G' n1 _5 C5 J+ H
0 r5 S1 m5 p* P! D国产方面:
5 E0 C' [) S. U一、瑞星杀毒软件
1 Y3 _3 p" m; a& r" s思路:9 e& M9 e- i" k' q
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
( H9 G7 h( S3 [ C$ x; e( A! ~+ M2 \2、释放驱动,恢复SSDT-HOOK,干掉主动防御
9 H4 O% Y v K& K0 |3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)2 r! A1 b0 ]& }) G) n
1 X% D1 H* h& ^' [. k6 V- Y4 f
二、金山毒霸
# X6 G$ _! @8 O# Q+ |* O思路:直接释放文件,进行感染……* l* U5 R1 h& J% ]" K3 C
$ ]# @9 u0 q- [7 O5 \三、江民杀毒软件
' L, l* e% C! L; H思路:
+ C c5 r# ^; A5 q1 o: F* F1、修改注册表,让江民在重启后报废# |. Z* w* _. G5 L
2、释放一个自身的副本到非系统目录
4 L: ]/ E3 R+ C$ n9 i3、释放一个快捷方式到开始菜单的启动目录中
/ ^* u' e8 B6 B) W, L' e4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启$ M y! g4 ]5 H5 s" ?
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
6 q) h# M1 A5 H* C# Q* n# c* M/ S# [ H! k8 Y0 s
四、微点7 R3 d1 _& y9 w/ v. `
思路:! R5 c. B, |* B( n# I
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……! a2 n K* G9 [8 Q( [9 K
, z+ z3 l; X& F, t) j( |* w/ R4 B国外方面:8 M( M. ^0 I, r
一、卡巴斯基; W" n, i( M9 n7 |, M$ s
思路:
0 Y5 ]3 d; X* R( |; g1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
z2 ]3 G/ ?% A; i) e5 U2、释放病毒文件,添加启动项,完成感染
% q$ u$ C1 G% e( E! D" |
$ ^8 c( @# }/ J5 D) i8 g6 ?二、NOD32( L: \$ r# Y3 I w/ |
两种思路:6 T- c e$ o! S, P4 j! h' g
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品' e, E( x6 ~( l/ c: e6 X( U
其二,利用其自我保护弱的特点,释放一个批处理:) u7 b% C0 X# N- I; i/ n
复制内容到剪贴板代码:
3 Z. B; s* Z+ X' j! F& ?@echo off
) h5 F- N! i, P4 l:try1 V/ g: n% h, X- f
taskkill /f /im: nod32krn.exe
# X* Z P3 M# C0 }1 }taskkill /f /im: nod32kui.exe
: Q7 s u, b# ~4 W6 Vgoto try
, |7 r! D. v! h O( {2 a& ?9 @0 H然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。6 x. ?2 `% g6 m* v- D- {5 `
! k4 U/ V4 H& P% J. ]) c! F4 ]
三、小红伞
- u3 y! I5 b7 q4 ~思路:6 ~) E* `- P$ x1 z# D& c
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡