首先让我们来分析下瑞星的查杀方式。我用的远控是灰鸽子。测试了下。在过瑞星云查杀的条件下。将所有的勾,就是不自删除,不添加服务启动和注册表启动,不插入IE等。就可以过瑞星主动防御。可是问题就来了。假如不添加服务启动和注册表启动,那么重起如何上线?本想去百度一下到底瑞星的查杀,到底查杀的是什么,可是因为是刚出,还没人突破。各大黑客论坛都讨论的热火朝天呢。哎。自己研究吧。找到了一个教程。他是这么说的,只需将uninstal.bat的bat进行填充。见图1:
看完这个教程,激动的要死。赶忙跑到C32里,果然找到这个bat。一填充,好了,激动人心的时刻就要到了。打开瑞星主动。双击运行,满以为成功了。可是,瑞星还是提示了。图我就不截了。我们继续。继续研究。
我将他填充后发现,鸽子正常运行上线。但是,自删除功能废了。研究了下,鸽子自删除就是采用这段代码。它在C盘的WINDOWS目录下生成了unistal.bat这个文件。之后执行了自删除功能。所以填充bat后生成出来的文件就不是unistal.bat 而是unistal 。试问,一个没有后缀名的文件能执行么?回答是否定的。所以里面的代码自然也就无效。接着鸽子就残疾了 - -。(是人都知道,要你屁话)
继续。至于如何解决鸽子即能自删除又能过瑞星呢,这个我们等等说。继续研究瑞星的监控体系。
后来发现,瑞星主动是杀在数据流上的。但它跟金山的数据流查杀方式有所不同。金山查杀数据流是修改下大小写就能过的。瑞星不愧是国内杀软的老大哥了。你怎么修改都是没用的。因为他查杀的是数据流,也就是Restorator中Hacker的数据多少,假如多到某种程度,那么瑞星K你,报毒。假如少,那么不报。谁都知道,Hacker的数据是碰不得的,一碰,不上线,最多只能大小写转换。我想或许这就是瑞星工程师的用意了吧。那么我们就得换个思路了。我们可以这么想:数据流是什么?就是我们的配置信息。(谁都知道,别说废话。)再想,数据流靠什么生成?还是配置信息。如何修改数据流?答案还是配置信息 - -。不要以为这个是废话。思路就是这么来的。好了,直接上图。我们来看看我的思路是否正确。
默认配置 见图2 图3
修改后的配置 见图4 图5
载入Restorator。将Hacker里的信息复制下来。当然,这里我已经把名字改掉了。改成了VIP2009。见图6 图7
利用前面的思路我们可以看出。数据流的多少是跟配置信息的多少来挂勾的。那么我们得出结论,只要使配置信息的代码变少,那么就是免杀的。如何使它变少呢?我们就从配置信息入手。首先我们看到鸽子的选项有:自动上线。安装选项。启动项。代理服务。高级功能。插件功能。那么能修改的只有安装路径和启动项。其他是无法修改的。那么如何修改呢?
很简单。只要把所有没用的去掉,随便输入。但不能输入多。建议显示名称、服务名称、描述信息不超过3个字符。安装路径不要选Program Files这个目录,一看就知道,名字太长了嘛 - -。
好了。配置一下,生成,瑞主全开。测试上线。报毒。(靠,我明明按你的做法去做了,怎么还报。作者你骗人啊。)别激动,- -。刚开始我也觉得奇怪。为什么还报呢?多次实验后我注意到了
立刻去掉了。插IE这个勾。好仂。再测试,上线成功。
上线咯。HO HO。但是这并不代表完美的突破了瑞星。因为我们还没解决两项。
第一,我们不插IE是突破不了防火墙的。
第二,我们还不能自删除呢 - -。
好,我们接下来就解决这两个问题。
1. 想突破防火墙必须先了解他的原理。现在大部分的防火墙的“应用程序规则”里一般默认就会让IE浏览器(iexplore.exe)、Outlook Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe通过。
而大多的防火墙认为只要是与规则里的路径及文件名相同就会放行。以这样的检测方法来决定是否放行但它却完全没考虑到如果是别的文件注入呢?应该算个BUG吧。这就给了我们机会,我们可以利用这个BUG来欺骗防火墙来达到访外的目的!其实现在大多木马采用的DLL插线程技术也就是利用了这个原理,它们首先隐蔽的开启一个认证放行的程序进程(如Iexplore.exe进程),接着把DLL型木马插入这个线程内,然后访外时就可轻松突破防火墙的限制了——因为防火墙是不会拦截已认证放行的程序的。但是我们的瑞星已经不吃这套了
在默认的规则里已经保护了。IE、Word、Excel、PowerPoint。只要木马注入这个程序或进程直接报毒。(- -。瑞星也太黑暗了。)那么怎么办呢?大家往回看。防火墙还默认放行了Outlook Express(msimn.exe)、lsass.exe、spoolsv.exe、MSTask.exe、winlogon.exe、services.exe、svchost.exe等。不用我继续说了吧?只要是它默认放行的程序插入必过,所以愿意插哪个插哪个。至于修改的方法。将木马拖入C32。找到它的进程修改即可。很简单吧?嘿嘿。
2.激动人心的时刻终于到了。那就是许多人无法解决的自删除。我们[C.S.T]安全小组的飞舞已经出了教程。大家可以去看看。
根据上面的思路。我们得知自删除的是靠uninstal.bat 来进行的。那么我们必须将他进行修改。见图14
首先。改名是不可能过的。我死命改死命改就是不行- -。虽然能删除,但是还是有提示。 B0F,}tq
愁。那怎么办?总不会认输吧。后来战神给了我提示(特别鸣谢战神的提示。掌声。啪啪啪啪)我们可以将bat转换为com 。为什么能这样转换呢?大家可以看到。鸽子配置的时候有这样一个提示。见图15
也就是说木马只要是exe com bat 结尾就能运行。那么同样我们的uninstal.bat 也可以修改运行啊。测试了下。完美上线。
终于结束了。历时2小时。解决了瑞星2010主动防御。HOHO。
总结:瑞星已经从特征码迈向主动防御了,这是一个质的飞越。小小的来总结一下,瑞星主动呢,首先杀的是他的uninstal.bat,这个应该算是特征,因为如果不是特征,我只是修改了个后缀,就能达到免杀的效果,而代码不变,那么跟特征有什么区别?后面的插进程这应该算是主动防御。但这个主动防御还是蛮简单的,修改下进程名,或者不插进程也OK了。这个主防跟卡巴还是没得比啊。卡巴主防插了进程就是K,所以还是不要进程来的好,假如一定要插入,我教大家一个小方法,把木马文件生成名改成你想插的进程,就能插,但是缺点是,一看路径就….好吧。免杀的方法其实还有很多。大家可以自己多研究,自己研究出来的 总是比较有成就感的嘛。
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.3 (KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0