卡巴斯基2010在针对数字签名和系统文件防护变的非常严格,注册表更不说,经过这么多年的升级基本上没有可以利用的价值,卡巴斯基2010之前版本可以通过修改感染系统文件进行启动,绕过监控,只需要给PE文件添加一个数字签名,由于卡吧监控并不严格只是判断是否加了签名,而没有判断签名是否正确,所以给很多马留了生存空间。
但是,卡巴2010后的版本就没有这么幸运了,对系统目录文件的验证变的十分严格,即使想用程序给系统目录的文件改个名字,也会被提示风险软件,而主要的几种启动方式例如 服务启动,Winlogon启动,ActiveX,感染系统文件,DLL劫持,替换SVCHOST等等,已经无计可实了。
下面简单分析这几种启动方式死法
1.服务启动方面,注册服务的最终都要写注册表,以前可以直接写,后来导入注册表,再后来通过RegRestoreKey恢复,最最后HIV文件分析,现在怎么写也写不进去了,死了。
2.Winlogon这个启动方式非常好在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify项下面创建一个子键加上要启动的项名称在DllName中加上自己的DLL为DLL导出几个函数系统启动时会由Winlogon加载启动稳定是没得说,不过修改注册表这一步以经没办法实现了,实在可惜。
3.ActiveX目前还有可以利用的价值,不过要好好想想哈
4.DLL劫持一直被称为神奇的马甲,但由于卡巴2010开始对系统文件目录的严格查杀,劫持也变的非常不容易了IE还可以利用,在IE的目录里把原DLL 改名自己的DLL 放进去然后发函数转发到原DLL ,由于IE目录是Program Files目录而非%Windows%所以进行劫持还是可取的,而且穿透防火墙的效果好,你没见所有的防火墙直接就能放行吗?但缺点也很明显,只有用户启动IE的时候你的DLL才会被加载。本文作者 冷风
5.SVCHOST服务启动,首先要区分SVCHOST启动与普通服务启动。SVCHOST是唯一可以与IE颦美的方式,由于DNS服务的域名解析是由SVCHOST进程启动的所以他必须连接网络。而让SVCHOST加载自己的DLL 是一个非常好方式,比如前些时间流行的替换BITS服务就是,还可以过主动防御。SVCHOST自己创建一个分组的话是最稳定的,得会多出一个SVCHOST进程出来。哎,缺点必须动注册表。
对启动方式 大概说一下 方便后面启动的理解,看一下上面主流的启动方式基本上以经被封杀的无路可以走了,而其它还有一些加载方法属于某些人自己的神兵利器。如果别人不爆,想搞到也要大费力气 。还是就上面几种方式说说思路吧
首先就对修改注册表启动这一块想过2010以经是不太可能的了,这些启动方式中除去跟注册表有关系的就是 DLL劫持与PE感染了,PE感染可以让系统文件加载我们自己的DLL 与DLL劫持实现不同但效果基本一样,但这两种方法两关要过,其一是系统的WFP文件保护功能,其二就是卡巴2010对系统文件夹的保护了,对于系统的WPW功能你可以通过调用sfc_os_dl中的的第5个函数来关闭以前有人说要让winlogon来执行,才能关闭其实不用,你可以直接调用,当然这个功能以被卡吧看住了只要你一调用他就杀你,解决方法是你把这个功能实现写到DLL里面,然后导出一个函数,你的程序加载这个DLL 再调用,这样卡巴虽然很牛但也不能知道你的函数是什么导出格式,有几个参数,所以他模拟也模拟不出,就行了。
然后就是与卡巴的正面交锋了,这Y的很猛的,首先他会使劲检测你的程序 看是不是跟windows里的系统文件有染,一但发就直接喀嚓了,所以一定要小心就算是使用GetWindowsDirectory之类的也要小心啦,卡巴同志这时候正瞪着眼睛看着你呢,比如你想使用把MoveFileEx把里面的文件改个名,然后把自己的文件CopyFile 或者 MoveFile进去,那就完蛋了,卡巴会直接报一个Install Windows风险,为什么会报Install Windows风险呢?就是因为你动系统目录的文件了,不过他也不能太苛刻毕竟很多的正常的软件也要访问,如何解决这个鸟?通过批处理BAT行不?我试了不行。本文作者 冷风
我通过另一个办法简单模拟了一下可以实现,其实很简单啦,本文作者 冷风,方法就是你把要访问系统目录的功能分开来写,比如你要替换Usp10.dll然后通过启动Http SSL服务来启动你的马,那你在关闭系统的文件保护之后,必须把原来的Usp10.dll改名,然后才能把自己的DLL 拷贝进来,这时你要注意,给Usp10.dll改名和拷贝自己的文件不能在一个PE中完成,你可以把 改名这个操作放到 RenameUSP.EXE中把拷贝DLL放到WriteDll.EXE中然后 想法调用这两个EXE这样每个EXE单独操作,卡巴针对每个EXE执行的时候不会报警,但合到一块操作就会报警,还有不嫌麻烦的话把这些操作封装到DLL再调用。本文作者 冷风
在测试卡巴的中途我把半成品拿到瑞星的2010测试了一下,发现主动防御可以直接过去啦,看来瑞星还要努力啊,不过我喜欢瑞星,只要自己手工配置一下,杜绝95%的马能跑起来还是完全没有问题的^_^如果你要过瑞星的话要注意明文字符串,比如你在搞一个劫持LPK.DLL进行启动的马,那你最好不要在代码出出现 TCHAR szHijiackDll[]=_T("LPK.DLL")这样的代码,因为瑞星好像会扫这个东西然后直接给你报一个Win32.FakeLPK还是简单加密一下啦,就算用_tcscat连接也好哈。本文作者 冷风
还有一点,我还没能确定,卡巴在关方有一个列表,这个列表中的软件呢,就算没有数字签名,也会被认为是安全的软件,他会把运行的文件对这个列表对比,有的话就直接放行了,这是一个人性化的操作,是否有可以利用的价值还需要研究呐,你想如果不连接网络的话,卡巴怎么处理他会不会放松检查的严格成度来保证软件的兼容性?在测试时我给EXE随便加了一个签名,然后断网运行,发现原来报警,断网却没有报警。这个没有严格测试有朋友感兴趣就自己测试一下吧。本文作者 冷风
嗯,驱动很热门啊,用驱动搞死它行不?行啊!!不过,但是,可是......就算是神枪手要杀人也得有出枪的机会,但是卡巴大叔不会给你这个机会,所以这个想法还是放弃的好。驱动嘛还是用来做安全盾牌吧,进了驱动就是天堂,但是杀毒软件在进天堂的紧要关口都设了埋伏,所以我们还是从R3下地狱好了,R3下虽然很崎岖但毕竟路很多。本文作者 冷风
360也在搞安全认证,不过现在只接受公司的软件认证,看来这是很好的一块市场啊,如果360成了权威的安全认证的话,以后的软件都得加上360认证的证书。这样也不错,毕竟现在想要给你的软件买个安全证书也不是容易的事情。哎我还有很我废话要说不过我家领导要下班了,就写到这里,文章是随兴而写乱七八糟,前张后合,有什么错误的地方请多包涵,如果你有兴趣的话可以与我联系,我的ID冷风QQ121121606欢迎指正错误一块学习进步。
本文来自CSDN博客,转载请标明出处:http://blog.csdn.net/chinafe/archive/2009/11/02/4759432.aspx

转载于:https://blog.51cto.com/suguiyang/272189

针对卡巴斯基2010的免杀研究相关推荐

  1. PHP-Webshell免杀研究

    不想当将军的士兵不是好士兵,不想getshell的Hacker不是好Hacker~ 有时候我们在做攻防对抗时经常会碰到可以上传webshell的地方,但是经常会被安全狗.D盾.护卫神.云锁等安全软件查 ...

  2. Webshell免杀研究

    前一个阶段闲着没事干,所以将之前做的关于webshell免杀的一篇研究性文章发表了出来,供大家一起学习探讨,文章目录如下,目前已发表与先知社区,欢迎探讨交流~ 文章链接:https://xz.aliy ...

  3. 二进制免杀-火绒免杀研究

    ┌──(kali㉿kali)-[~] └─$ msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.93.134 lport=44 ...

  4. 《网络攻防》实验三:免杀原理与实践

    <网络攻防>实验三:免杀原理与实践 世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以 ...

  5. 艰难的mimikatz源码编译免杀 Windows Defender

    微信公众号:乌鸦安全 扫取二维码获取更多信息! 说明 本文周一的时候,工具就已经上传GitHub了,所以工具应该是已经失效了!!!仅供参考! 本文mimikatz源码编译未能免杀Windows Def ...

  6. 052 木马免杀全攻略

    木马免杀全攻略 转载自:a1pass.blog.163.com 2007-12-07 14:02:24| 分类: 思绪燃星火--技 | 标签:黑客 杂志刊物 作者:A1Pass 出处:http://a ...

  7. WebShell 木马免杀过WAF

    就算木马能正常运行,那么过段时间会不会被管理员杀掉?如何免杀?上面虽然木马上传成功了,但是只要管理员一杀毒,全部都能杀出来.而且,还会很明确的说这是后门.因此,作为攻击者就得会各种免杀技巧. 防御者的 ...

  8. webshell之jsp免杀

    webshell之jsp免杀 转载自webshell免杀研究 原理 向服务器端发送恶意代码写成的文件(即:shell),客户端通过远程连接,利用shell连接到服务器,并可对服务器进行操作. 结构 实 ...

  9. 【免杀】————2、php免杀木马的思路

    一般的,利用能够执行系统命令.加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做 Webshell. 本篇文章主要探讨关于 PHP 语言的 Webshell 检测工具和平 ...

  10. 云锁 php一句话,关于php一句话免杀的分析转载

    一开始想这样:   <?php $_GET['ts7']($_POST['cmd']);?> 客户端用菜刀,密码cmd,url为test.php?ts7=assert   这个应该算没有什 ...

最新文章

  1. MyBatis中使用流式查询避免数据量过大导致OOM
  2. Keepalived双主模型中vrrp_script中权重改变故障排查
  3. linux c 内核 warning: the frame size of 1040 bytes is larger than 1024 bytes
  4. java实现将一个正整数分解质因数,Java将一个正整数分解质因数
  5. 今日头条关键词排名怎么搜索_公众号搜索关键词排名、公众号怎么排名靠前
  6. 汇编语言---计算有符号数算式的值
  7. Drools集成SpringBoot
  8. 医药电商、线上药房、连锁药店、用药咨询、药箱补货、药师认证、分销商、合伙人、医生管理、诊所管理、处方药、收银、发票、电子会员卡、门店调拨、提成分销、问诊咨询、积分、顾客、流程图、业务逻辑、营销、优惠
  9. IS-IS邻接关系建立过程
  10. spring boot2.0.4集成druid,用jmeter并发测试工具调用接口,druid查看监控的结果
  11. 五子棋算杀c语言,什么是五子棋的做杀
  12. 汉字在字库中的偏移地址计算、显示方法
  13. win7系统如何安装python_python安装教程详解|python下载安装教程步骤
  14. android超频闪退,显卡超频后玩游戏闪退 | 手游网游页游攻略大全
  15. 王琪你计算机学院,计算机学院成功举办第四届青春飞扬大赛
  16. 运营商线路细分_电信运营商客户细分
  17. 我是怎么薅的双十一羊毛
  18. 服务器raid卡安装在什么位置,安装raid卡
  19. 九度OJ 1177:查找 (字符串操作)
  20. android仿百度地图悬浮式窗口,百度地图(bMap)实现浮动层、按钮等的方法及代码...

热门文章

  1. 数据比较1.0(文本格式)
  2. mybatis整合spring,使用org.mybatis.spring.mapper.MapperScannerConfigurer扫描出现问题
  3. file_get_contents(): php_network_getaddresses: getaddrinfo failed: Name or service not known
  4. sql Server索引优化[转]
  5. 修改FCKEditor实现将图片、文件等保存到数据库
  6. Resharper:还记得NHibernate之夏中那如梦般的代码自动工具吗?
  7. powerdesigner中生成数据库脚本时出现长度限制问题的解决方法
  8. 前端导出Excel兼容写法
  9. odi 12.2.1.1新特性
  10. 关于static的使用