|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。# k' b( p% Z3 l3 C4 \) D
注:不考虑防火墙
; y) D- T& D' v
9 `" d: ^" b- f6 x6 V* |9 @7 c国产方面:. ?3 U4 Z( ?" Y9 t/ L
一、瑞星杀毒软件
: W) p9 n4 q+ `思路:
) |4 Y/ D# N( q/ |- P! e1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事). h7 t& r# L: @6 O( i* G
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
' e) B* V- y6 N& f+ V) y- b3 I3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)) X& U- z9 s! |# C3 t
) c; i. }2 O' J8 F
二、金山毒霸
. [" J) ]% A, X) `* w思路:直接释放文件,进行感染……$ X6 X3 _" Y7 y) A
0 Z* r( p/ w) @/ S5 u1 ~' U三、江民杀毒软件5 p0 S/ |3 v- N, t
思路:
# e) x* f: d* q" O) Y6 O% V. `1、修改注册表,让江民在重启后报废
0 `' r* _: @" A5 \2、释放一个自身的副本到非系统目录: x# d* Z1 B5 d% S. ^* f$ \
3、释放一个快捷方式到开始菜单的启动目录中
# {/ U6 |" V4 A- G; u8 h7 X" Q* T' o4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
% v: |/ h* @ K* _) h& X/ N5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
) i" u3 o7 N3 m
; }- j% g' j0 X p四、微点& p! a5 W4 }3 k# t) ?- D
思路:) o u/ _" ~$ D
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警…… M1 r& b8 e4 j$ S+ q+ S! F2 c! p
! F: M4 v3 `3 h) V S5 W2 _ ?0 M+ u
国外方面:
7 e, L3 ]% ^6 N: K- O一、卡巴斯基( [- `& D( T/ s) k# }
思路:8 J4 `5 p& D- a4 W% _% m6 k7 y" K
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
; x7 p+ j; m4 A8 {2、释放病毒文件,添加启动项,完成感染1 Z: T3 F5 [& x, A( T. H
4 q. n% g' G+ g% V/ P" P) n* v
二、NOD32
* M1 J. B7 t" g. p8 X- W p# q两种思路:1 V; |/ y- n& k* x% a6 K+ u" M
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品% x- P6 Q/ Z5 Z; `( b8 f. a& |
其二,利用其自我保护弱的特点,释放一个批处理:8 u; F* U+ }5 V# K, ]
复制内容到剪贴板代码:
, F5 r G/ }6 w; j2 O@echo off! a Y7 @; X0 z, [$ P; f
:try
2 F& ?) E! x4 \9 r- U/ {6 Wtaskkill /f /im: nod32krn.exe, O% Y3 g- [) I+ n& T5 \' ~
taskkill /f /im: nod32kui.exe8 F: V: W8 Y, K% c9 r t+ `% {
goto try+ d" _$ v6 t$ o/ g2 O
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
2 c8 x9 x7 O+ K) n( \ M) g# _' L9 b* q+ a
三、小红伞
6 L4 ^0 Z* {2 K$ Z, |思路:7 o4 [, s" Q- P% @) g1 G- T; v
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡