 该用户从未签到
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
2 I# w: @1 \- b$ e注:不考虑防火墙
1 \5 a# Q$ p, h9 D0 W+ B; @6 q, T! U4 F
国产方面:
; a. m- g6 u; F' A一、瑞星杀毒软件- t4 ~- H/ s2 |' l) i$ _
思路:
& a; @: o V6 V0 @7 e, y4 A8 ]1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事). l( J$ {% s& ]! ~' j& E# M7 n5 b7 k
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
; {5 h. V# t, @+ V1 E9 q3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)( V. Q3 v9 {( u+ ~7 n
1 @$ N4 ?: D6 h6 i( T4 B) E7 `二、金山毒霸
8 ~2 B/ P1 E" G; S+ c8 b思路:直接释放文件,进行感染……
1 p- w: y, B, t- T; M" Y: i$ T1 G- N6 h+ p- R. y
三、江民杀毒软件) s. Z; A' ^4 l% x/ y/ ^
思路:1 d4 I% [' K; z* Y0 u7 I' d" r
1、修改注册表,让江民在重启后报废
0 H) c1 n; h3 W2、释放一个自身的副本到非系统目录% m+ F; R0 s6 m6 C
3、释放一个快捷方式到开始菜单的启动目录中- D( q! h' S3 h6 A* a
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
0 S6 O e' u. i2 ~7 q! L- ]5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。- t& j+ b, y& ^5 G s9 M/ M' @
8 Z" X/ `1 c8 ]" S' n2 U6 i四、微点6 o! X4 P ~* p
思路:* _$ B$ Z" w! b0 W2 M
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
N. b' N: b; ^( B- z: h; A7 ]
% J: k$ t, z; P国外方面:+ H% z" m! g7 e1 n7 K0 U8 q$ ~
一、卡巴斯基0 I) t/ N5 q' \" e# ?8 h, t7 ^8 Q& g
思路:
0 A' s: Z/ ]. H# e: v: Q+ U1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!+ F' X4 a6 e6 p# D
2、释放病毒文件,添加启动项,完成感染8 n' M3 o- C* j' z% l( {- n( R
9 Y% l! C# R5 b: t" n% o二、NOD329 z0 `, ~, E' D: r; H
两种思路:) d v0 K/ O/ z% M2 ~. J! I
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
8 r' n4 ^+ P& M; @- o, v# h- L其二,利用其自我保护弱的特点,释放一个批处理:
! d, z! U1 f4 L, W2 j复制内容到剪贴板代码:; p/ C$ z/ n- w r4 E
@echo off9 T' F( f U0 x; e# X j/ Z7 v
:try3 N* O: A, x( G( h, ~6 n
taskkill /f /im: nod32krn.exe* m: F* S: ^, S" M; k
taskkill /f /im: nod32kui.exe
6 L3 t) u& ]- e$ V! q1 F igoto try
& i3 L) i2 g* [5 o7 A1 ?6 n6 [然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
! C* C& z. l4 K( D! j7 T1 D& O- u$ a; p! x+ `" d
三、小红伞2 i$ g! I6 ?1 {3 c+ \$ e+ v s* _
思路:, \ V" y- A% M5 ]; X
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡