|
|
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。
6 _& c! |# Q. W% S2 Y注:不考虑防火墙0 L/ Q5 @! g, K1 C* Y
% J9 k& O7 k8 B7 M" U国产方面:
% G, K9 l3 c: {& ^- I: `$ f8 l一、瑞星杀毒软件, f, Q& f) x4 N+ Q
思路:0 s( J( u k9 H* V5 N. j' K
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)
8 ?; O) U! Q2 I( }- d( r- _2、释放驱动,恢复SSDT-HOOK,干掉主动防御- V) f9 i3 x4 l# B4 Z; N$ o
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等)
2 T+ k1 \9 @; ^
$ B9 [7 f8 I; X6 @8 K# |& z二、金山毒霸 V$ n i: Y% B( N4 A$ A" S7 ?5 b0 r/ `
思路:直接释放文件,进行感染……
$ C) S& d# l& Q. ]+ @+ d" }- ]
& Z! U' P5 ~+ H( D8 @% i* S0 R三、江民杀毒软件) q- M& x }8 R: f
思路:1 }1 {% I; @' [7 }& o' m5 t
1、修改注册表,让江民在重启后报废: J3 ?% T& w0 r. M8 T
2、释放一个自身的副本到非系统目录) e& _5 c) B- l% Z9 Z) i( E
3、释放一个快捷方式到开始菜单的启动目录中
$ T# ]+ ^' `/ W$ G4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
8 L; |: ~* h, l. @9 X6 m5 N5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。; H" T h' v1 e" b4 Y# D+ j7 U
3 l- q9 }, a' r四、微点
/ P: p* O# d4 i4 J思路:9 x1 s8 M% E0 c1 n) v8 l) G$ H
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……
& D$ l: {5 Z- ^9 I/ E' n7 W+ V! u% W
8 o7 f% b; j! \2 ~& a4 E; M国外方面:
! ~8 o$ W* @% }. H4 ]" h6 t一、卡巴斯基3 Q& o) ~5 L& [8 l! A
思路:
$ y& D8 n, h" {1 u4 S/ T% q1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
# l; X) f' w) H# F% F2、释放病毒文件,添加启动项,完成感染 w# j1 q) C2 O) _; j" m
0 }8 a6 w6 x E3 r
二、NOD32
- m- T7 p/ I$ d两种思路:) S7 Q) r! s* Q4 D
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品* T {) G: P" I) a' M: z4 E4 [. g
其二,利用其自我保护弱的特点,释放一个批处理:: b# O, c& v: z7 |7 F; u% X
复制内容到剪贴板代码:1 k1 S6 Q4 h" G* |$ [7 |
@echo off7 d2 f+ C4 ]2 g7 A; C
:try, Q3 O; J0 r( p
taskkill /f /im: nod32krn.exe; t" P7 a! _6 ]$ X, D
taskkill /f /im: nod32kui.exe; P5 n+ }% @3 R8 y
goto try9 `9 [" K, `3 I
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
" r! ~% i* p/ h% {0 Z: v
6 X, \5 T: E0 i! [三、小红伞
/ d3 z( n9 F6 d" B2 a思路:
) n. m; j8 k5 X* M; g& z一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。 |
|
/1 
IP卡
狗仔卡
发表于 2008-3-21 17:43:40
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡