 该用户从未签到
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
* }- ~0 o3 |7 [" E* U* t. w9 F注:不考虑防火墙' K' B: u p) J" c' y
6 P u( c) A6 K' D1 H& r. \国产方面:, U$ c4 J$ m5 b
一、瑞星杀毒软件% E, d7 j m. V7 j! K! j
思路:
( p; z! l* h9 V1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)' f' ~& u, x) `! j2 u
2、释放驱动,恢复SSDT-HOOK,干掉主动防御6 B# `7 d( z' h
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等). `% F9 A9 h+ d5 a7 Q2 l
- j. @7 I! o2 p6 H: C二、金山毒霸
$ O- @0 w% v* E+ E u. e思路:直接释放文件,进行感染……
* }$ R, B: f9 E" c$ K3 b: c8 |* ^
三、江民杀毒软件4 _+ m# O! V1 x# [# n2 I
思路:
( q# ^$ H) B U# l9 h1、修改注册表,让江民在重启后报废2 y: _+ Y$ f R1 B6 a2 }# x
2、释放一个自身的副本到非系统目录
1 Y1 C2 T; o) W R/ [) p: ?3、释放一个快捷方式到开始菜单的启动目录中
) i6 j# T( U$ ^, p. t4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启/ D m6 t! M. \! q$ @3 }" ^; `
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。! f& B, ?- f* H2 E
/ H0 a! a8 c, C/ T8 h8 V
四、微点
9 M$ ?! v) N# S% q: N5 u思路:% m; h9 A4 n2 K3 R
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……0 e0 ?- [4 e$ v5 I$ W( A6 b; S
' l/ X. l4 C0 Z* F- x国外方面:
' f; Z' b0 ~6 b: e8 q一、卡巴斯基7 W% W- @( F9 f% z
思路:5 D2 i- R/ ^6 |+ [" l9 U1 K$ e4 @
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!% f8 c5 i3 u- v9 p$ K
2、释放病毒文件,添加启动项,完成感染8 y4 Y2 r7 f2 ]% I0 H
4 K: i1 _+ J# f二、NOD325 i" k9 D0 f" P. T, l8 w
两种思路:
0 G% N: z& B) P) I# Q: P* @/ U其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品4 z0 P% w( s+ i( r' @, D3 u6 Q
其二,利用其自我保护弱的特点,释放一个批处理:
, a" r* L5 j; M, ], w! l! [复制内容到剪贴板代码:
$ x9 O6 \- D; o: w@echo off9 O& C' ?3 a. Y$ \
:try1 c# O0 n% |6 T3 \0 }
taskkill /f /im: nod32krn.exe9 l- R" Q9 z: Y; D" P' @2 _
taskkill /f /im: nod32kui.exe! G& M$ t7 Z# p8 s* d6 B
goto try: l8 X" l, G z
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
6 D& d9 ^$ O" {
1 w8 H% z( T1 f4 l F三、小红伞/ k: x7 e! e1 h
思路:
8 S. }. C" z% f( k一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡