 该用户从未签到
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
1 c( U. D: U9 t6 X! Z4 O: z( d注:不考虑防火墙
, W: \* q+ Y9 j5 f q$ l4 H7 p
7 l. E6 Q4 q" _) ^国产方面:1 j7 k( c5 o" h p
一、瑞星杀毒软件$ ~9 G1 r. `" K3 O7 J
思路:
& Q4 n6 f4 |& u1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)# {/ |9 {# y* l
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
4 \: V9 w0 U; i3 v/ X" q3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)6 ~ y2 r2 y# N# ?7 q: D6 E9 ]
0 l' m/ ^" _+ |" a! U8 v二、金山毒霸
+ v) M) h5 M6 @$ Q! ] l# h思路:直接释放文件,进行感染……" |8 n/ Y% t/ A! _% ^) }
* D/ m0 q+ r4 o三、江民杀毒软件/ p: d! p5 [6 P# z9 w$ Q
思路:
2 G2 ?* {4 Z( D# A8 }1、修改注册表,让江民在重启后报废
8 Z3 d. E5 U+ ^( `9 S/ v1 ?2、释放一个自身的副本到非系统目录; [3 H6 r$ G+ I
3、释放一个快捷方式到开始菜单的启动目录中
5 u$ N# \. t5 @' h+ V4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启8 v# p& i- ]' c, v" W( T7 m( z2 G( S
5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
. \& q" |5 l! g; s, [4 B! m% |! f. y& t! E8 d6 a
四、微点- v5 p0 R+ d1 e6 P0 U' s: I( S( u
思路:, i9 j- d' `$ D# [2 [" V6 B: D
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
/ g( Z' z) n3 b6 @3 k7 b& O5 V: J) E; F) X0 O0 X
国外方面:( J- s, j) }, m! {9 V
一、卡巴斯基
# Q5 W0 ^. |" Z) W: c6 C! X思路:" y: l& E% X% E
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
" F+ C3 v W: w+ U+ r2、释放病毒文件,添加启动项,完成感染
" o% }. r9 [0 c2 b/ M5 q% Z; k% I. {1 b8 ^" ~ |# A$ e" G" R+ {2 X
二、NOD32
}2 ^2 m! F- U, [% E# r4 h3 J两种思路:6 E$ s+ z( u1 h$ M, T# D1 {5 c: |6 k
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品+ B' E: D3 W T, d4 J
其二,利用其自我保护弱的特点,释放一个批处理:
2 ^5 z) o+ k& \( A( L2 i% M f复制内容到剪贴板代码:* q0 I( ^' b2 p2 N3 y2 U1 w2 M
@echo off4 E. [' H0 C2 \* l8 K' D' I
:try
# C; u8 y* J2 I# H2 N6 btaskkill /f /im: nod32krn.exe/ z" i6 ?* Y, ^% m- t+ T
taskkill /f /im: nod32kui.exe
! x- C+ }0 |( F+ Jgoto try
' F& n' B: D. s2 Y/ C: d然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。8 W! {/ w/ `6 b
* e' Y( ^+ R3 ^. c, T. U三、小红伞+ [0 V A7 N5 Y: v
思路:1 Z1 q- O8 b8 M% v
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-4-2 12:32:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡