下沙论坛

 找回密码
 注册论坛(EC通行证)

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2246|回复: 0
打印 上一主题 下一主题

突破各款杀毒软件的思路,仅供讨论

[复制链接]

该用户从未签到

跳转到指定楼层
1
发表于 2008-4-2 12:32:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
无论是哪个杀毒软件,第1步的思路都是一致的——静态免杀,也就是保证不会被扫描查出来。' r0 \" s+ \# i3 R, }5 ]; E
注:不考虑防火墙
) L4 s) h4 d: c9 D4 r. r9 ^6 R+ l, a% r& p2 G; |9 \
国产方面:
5 H9 q5 F, y9 _3 v% d3 K% @0 n# [一、瑞星杀毒软件0 g8 J! I/ i- J  z0 V9 u
思路:
8 }8 ^0 l  m+ W1 t1、内存免杀,瑞星也就这个技术还算说的过去,所以做一下内存免杀(这也不是什么难事), i+ e& J2 O; G( q4 \
2、释放驱动,恢复SSDT-HOOK,干掉主动防御6 Y: T& a" e; q0 S& i
3、释放病毒文件,感染,完成其他操作(如盗取密码、连接木马客户端等待受控等); v6 B/ f  z0 j& Y( g# Y

/ @; q& t7 \/ p# K- v( b二、金山毒霸9 n# N# w% ?. y( n2 \/ X
思路:直接释放文件,进行感染……
$ r' D$ K6 I5 n2 l: ^
; i4 X. H) W* I/ X& A) Q! O三、江民杀毒软件
+ Q2 N: M% b' U4 e思路:& Z: K; \- Q0 y' _- J7 H0 h
1、修改注册表,让江民在重启后报废
0 E$ d3 O) L" W* f: z' P2、释放一个自身的副本到非系统目录
3 B2 k6 R8 j$ i5 h- N, ?3、释放一个快捷方式到开始菜单的启动目录中
( u& I' o5 H. z) U! r# }/ N4、等待自身文件写入完毕后,调用NtShutdownSystem函数,直接强制重启
) ]7 j, [5 w7 y/ z. w( n5、重新启动以后系统激活病毒副本,开始感染,完成后续操作。  _8 f: N& B3 W/ M) I

: j* x/ q0 ?, \四、微点) U6 N2 A- Q. G
思路:
8 g1 q' C  D, N# U) Q目前没有太好的办法,只能尽量模拟正常软件的行为,避免引起他的报警……% _5 k& [+ O8 O1 j

: R. \& c8 @( s; C( d) k! z国外方面:( I9 I& }# r6 a- s
一、卡巴斯基
2 F9 r% p; m( L: Y9 z& P" ^% c思路:
  J+ t: Q9 c. f0 B" |1、修改系统时间,这是个不错的主意,不过要防止有系统时间保护软件,遇到有这类软件,先干掉他们的进程再说!
' M4 ~8 C' I# _( D8 I. w2、释放病毒文件,添加启动项,完成感染$ z& t3 ~  V, ], X# |

! {+ C8 T+ G" S% I二、NOD32" i2 E% [4 r* R, u5 Y5 C2 Q
两种思路:
$ }" k; H4 u6 w- u2 w其一,静态免杀不是很容易,他的启发很难对付,所以要尽量使用冷门的加密壳,然后对PE头做处理,实现静态免杀后,NOD32就成了废品
  O, M' e) q/ r2 G# r) n- n其二,利用其自我保护弱的特点,释放一个批处理:- j% f8 ?& }6 O5 k
复制内容到剪贴板代码:
1 ]" }/ {" G+ d! ^( S+ Z: B" V@echo off
% B, J3 V$ h1 `& D* M:try( s( ]2 P& T3 ?2 I
taskkill /f /im: nod32krn.exe
: u; [3 r1 W% ~: h. Vtaskkill /f /im: nod32kui.exe
5 V, T0 @; Z. N/ v2 egoto try! I$ N# _( ]/ V, h9 N
然后执行此批处理,接下来释放病毒文件,对NOD32进行映像劫持,最后停止此批处理即可。
2 y4 Y7 [7 f3 L" z4 |9 x
0 g5 g, A( L& t; D. u三、小红伞' f: f  {) R- [2 U5 {" k9 R: j
思路:1 G; {8 a( k) n$ v7 m
一向以高启发著称,然而自我保护偏弱,通过pskill等可以直接干掉其进程,接下来不用我说了吧。。。。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩

本版积分规则

关闭

下沙大学生网推荐上一条 /1 下一条

快速回复 返回顶部 返回列表