|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
, h, c5 b& a' A4 \注:不考虑防火墙
0 G/ D. v) L0 ^; ~4 B
I1 l2 H/ _4 I5 l国产方面:
7 m+ I& b. M/ l; c一、瑞星杀毒软件# {4 K" R; ?; b5 B
思路:- n8 I6 |0 ?" V2 e1 W
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
% U! f( Z4 i1 c% o: N2、释放驱动,恢复SSDT-HOOK,干掉主动防御+ I" A, G, z- w9 b9 Y# r( T
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
5 F4 ~% y! y' I" d' ~1 e( U' p' E+ k1 R0 _" X" m+ }
二、金山毒霸# {1 s/ `5 ^. L4 j7 a9 t
思路:直接释放文件,进行感染……; y2 c7 a4 n5 Z7 o
! c9 ?) w: s- ^
三、江民杀毒软件; I+ s; Z2 m* F* W9 b
思路:* A" V' d3 y. Q& I; M0 f
1、修改注册表,让江民在重启后报废" |" X- b3 u7 A: a" C
2、释放一个自身的副本到非系统目录
5 S. @& R5 B+ k3、释放一个快捷方式到开始菜单的启动目录中
+ X9 M$ U4 T0 d1 F6 k4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
7 {9 ], P+ f* w2 Y* W- d5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。" Q, ?, l7 j1 A; B5 v. ^
/ g1 @2 Q' K- p% Z$ O9 m
四、微点# b, `: ^( S( ~
思路:
, z j, i) P$ j- r2 ~; x目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
( d1 F( ?/ P$ |' F0 F' ^; t# Z" V* V! M& S5 Y8 p
国外方面:
, x7 m% k/ A) U# y R, E一、卡巴斯基& @9 v% l9 J1 O6 m N& G8 n
思路:/ X' G3 {/ {9 j# c' e5 w' l
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!& l* \0 y9 f. M& W, @0 Q t _0 k \
2、释放病毒文件,添加启动项,完成感染% {2 w9 _; e1 H5 @9 x/ V- e: |
( p* V) s- @1 Z. N二、NOD32
% `: w; @% h9 X3 R2 h两种思路:* ?0 o) ^; q% }/ y3 E& s/ [5 T' L
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品$ e: W$ ]$ R/ ~$ ^, j: v
其二,利用其自我保护弱的特点,释放一个批处理:1 V$ u& A! B" C+ E
复制内容到剪贴板代码:" z. j: p' \$ [ W2 L
@echo off7 E. N" I/ C' z' O$ K
:try
! B6 L- W9 ]8 L3 d( C5 @4 Q/ }taskkill /f /im: nod32krn.exe
$ r2 `- @, n! m3 [: a! Ataskkill /f /im: nod32kui.exe
& ^1 m' p. F$ z3 W, n' qgoto try
+ \' a6 s% t; i- d2 {然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
! ^ h I9 {+ K; @% E5 G4 Z6 \& M0 ~& Y9 |. [ V% }5 m
三、小红伞
# z% k6 L& Y$ x% m/ @思路:
( |* M5 N! E Q# ~一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡