|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。8 ?8 n B( ~9 T+ _: z; D e6 j8 H
注:不考虑防火墙
+ h' E. m/ ^6 ]8 w- E2 c2 v+ E7 |+ J, X- |8 o* s: s3 @% v' w# F
国产方面:
% K3 X" ^, i9 f2 a$ J; x2 K一、瑞星杀毒软件
4 Y9 ]4 p+ z: ?' V1 q' P思路:
+ O# t6 F ]$ I1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
* t1 ]; B, s6 Q1 q5 s& b: z2、释放驱动,恢复SSDT-HOOK,干掉主动防御
6 M7 P4 T, s: F. z3 l3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
j- U) `' }2 \/ c h. A, K. ]' c: B, b6 q V# B) ~4 |3 r/ }' G
二、金山毒霸
$ n k" A0 v3 F7 Z* p$ G思路:直接释放文件,进行感染……
% B) |- E4 k) e2 o- H
# b) [& {& c0 V" J$ q三、江民杀毒软件
8 V/ `# H& V5 r9 ~- T9 Q. Q# d" }思路:) Y6 r! E4 }' s% G) {( d% a2 @
1、修改注册表,让江民在重启后报废
3 M* ] B: R8 a. T) i. U4 H2、释放一个自身的副本到非系统目录
3 X4 k4 K7 B. ?3 e; _9 K3、释放一个快捷方式到开始菜单的启动目录中9 N1 W+ O3 h/ d% t* V
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启0 X6 B/ [/ \- _) \5 [* ]) {
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。% j: j& `' @- U% L
1 y6 E' W) A& a P- b
四、微点: i ~5 x' l5 \! |$ b
思路:: K* v1 j" X$ z. i+ o' D1 x
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……4 }& S8 A. s6 g( Z3 ~" z
4 |5 B! N. ~ y国外方面:6 c' f- ~0 w/ x2 o
一、卡巴斯基 h+ `8 ~0 ^- I; |. E
思路:
+ [1 |; _; W; j/ e; j4 p) _1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!% _+ e4 g9 S& d# f* p' F8 P
2、释放病毒文件,添加启动项,完成感染& ]% }6 Q% c2 K x* ~
z" T( r- S6 z
二、NOD323 P& D" R' G* B- Q& H/ u7 @& K
两种思路:
9 v3 ` ^" } v其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
2 V" T1 t- f+ P; g& g" T! |& k其二,利用其自我保护弱的特点,释放一个批处理:0 F: x# O. I( o) N% k6 x* y. l
复制内容到剪贴板代码:, N) }, c S- O$ t. B
@echo off* s9 Q6 n2 E/ Q( t+ z5 D
:try7 C" \3 X5 C! l& k7 T: e
taskkill /f /im: nod32krn.exe
8 {% F0 E: D, D: c9 `+ a6 {taskkill /f /im: nod32kui.exe; W4 R6 v0 Q5 i( u
goto try
, V& L1 B! c9 q- N4 S) D+ w7 S然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。" m1 I( _. n' E8 }7 h2 V
, Z- J5 X& G, V
三、小红伞
! m* p$ ^0 i9 X2 [/ @思路:- p m) D4 X" q) y8 ~0 |0 |2 |, N
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡