竹木刀 发表于 2008-4-2 12:32:24

突破各款杀毒软件的思路,仅供讨论

无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
注:不考虑防火墙

国产方面:
一、瑞星杀毒软件
思路:
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)

二、金山毒霸
思路:直接释放文件,进行感染……

三、江民杀毒软件
思路:
1、修改注册表,让江民在重启后报废
2、释放一个自身的副本到非系统目录
3、释放一个快捷方式到开始菜单的启动目录中
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。

四、微点
思路:
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……

国外方面:
一、卡巴斯基
思路:
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
2、释放病毒文件,添加启动项,完成感染

二、NOD32
两种思路:
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
其二,利用其自我保护弱的特点,释放一个批处理:
复制内容到剪贴板代码:
@echo off
:try
taskkill /f /im: nod32krn.exe
taskkill /f /im: nod32kui.exe
goto try
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。

三、小红伞
思路:
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。
页: [1]
查看完整版本: 突破各款杀毒软件的思路,仅供讨论