下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 6347|回复: 1
打印 上一主题 下一主题

突破各款杀毒软件的思路,仅供讨论

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2008-3-21 17:43:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。- t: n" J( G) H: F
注:不考虑防火墙
1 t7 `" W  T7 w; l+ c% A; R
2 O1 U1 K9 g6 i( t国产方面:
: w; k  ^& N. @3 H/ s0 W- K一、瑞星杀毒软件
! x7 g/ \  C& D  H* u思路:3 |9 h1 q  Y9 @+ j
1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事)* ]6 P! N3 x3 ]2 g
2、释放驱动,恢复SSDT-HOOK,干掉主动防御
2 w6 s' m$ Q) W. r; @, h3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等), C. i8 x  s  D9 s

# p. K5 E5 w* T+ l0 C5 K; E7 J二、金山毒霸1 s  q0 Z0 [/ H* A0 C8 b
思路:直接释放文件,进行感染……
: ^3 }* _! J0 v# u* \, s* y! [; h- S* r' l( _9 P7 ?# _4 D
三、江民杀毒软件4 ]/ s" S7 g5 I9 _3 z! g
思路:+ O1 \) e3 [) ]; P
1、修改注册表,让江民在重启后报废/ P% {" j+ Q) v; p6 x
2、释放一个自身的副本到非系统目录
3 o" M  F+ J( N& y2 o* O' i3 Z3、释放一个快捷方式到开始菜单的启动目录中* S9 i5 R+ |  ^! k
4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
  h7 Y2 g2 @. n4 k. s. t5 [% C0 R( D2 H5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。
' `2 J, _8 ]& c, g5 Z
7 V& w1 t: \+ V: w  j四、微点6 b$ b6 ?& \: r' k% R* q, r. f
思路:& m+ `: y& ~8 c* q
目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……3 _  E* l4 F- l

: G( Q, s/ t. K7 w国外方面:
6 c+ I7 X2 ^* w一、卡巴斯基" ^" j9 a0 H" w2 u; i9 a% u
思路:/ W* L* y' C" v2 o0 k  P
1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
5 t9 n& d/ u7 \- J) W9 m6 f4 s2、释放病毒文件,添加启动项,完成感染
* `6 `3 v6 _+ y3 ]3 g/ O& M, E, S: W: a0 \1 x
二、NOD32& S+ I+ v. j7 h) X) q
两种思路:" u* V) t5 i- V
其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
6 j/ i3 @2 f0 Z# N9 L$ U" ], a; m5 w9 [其二,利用其自我保护弱的特点,释放一个批处理:
$ {3 a1 \; x$ k8 T- x: \0 A0 z复制内容到剪贴板代码:- j  _2 W" V, T/ E, A3 k
@echo off
+ }) M$ w  D2 O0 @:try
6 G8 W, }" E$ }* F) }taskkill /f /im: nod32krn.exe5 L" F, c8 G! v9 R/ Y& O3 e
taskkill /f /im: nod32kui.exe
5 P. \! a1 P3 m* v; [goto try; M) {8 R" _* P% j, I4 n& |; |
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
/ r& D% [2 J  N9 f( b  g0 w
/ P3 P; P8 \& a$ f/ Z; {三、小红伞
* ]( O5 Q7 j& k* u( M) I思路:% R" c6 g4 T3 }# d2 k, f
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表