1   1  /  1  页   跳转

[转载] 过瑞星行为的思路

过瑞星行为的思路

哇塞!瑞星出2011咯~!@#¥%……&




有什么好高兴的?DeBug了一阵,终于过掉了,技巧有七:


1.木马自删除,针对鸽子这类后门自删除要小心,鸽子的自删除似乎可以在DAT中搜索BAT改为CMD,就可
以过,而Gh0stt是DLL辅助删除Load就不会被拦截
2.木马释放文件或Copy、Move自身千万不要到关键目录特别是WINDOWS和SYSTEM32中
3.木马释放文件或Copy、Move自杀呢的后缀名,鸽子的后缀可以改为为COM、SCR,Gh0st的似乎随便改
4.调用敏感程序,例如调用RUNDLL32、CMD等可能会被拦截(eBug中我发现直接运行RUNDLL32都拦截)
5.注入进程,这个虽然可以增加隐蔽性,但要注意方法,否则很可能被拦截!特别是鸽子大白鲨之类的,只
要注入就直接Kill了,最好不选
6.默认开启键盘记录,这个很危险,不光瑞星主动拦截,360卫士也有提示
7.如果都没有什么过分的动作,请参考10瑞星主动方法——伪装正常文件




用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/531.0 (KHTML, like Gecko) Chrome/3.0.195.0 Safari/531.0 SE 2.X
分享到:
gototop
 

回复:过瑞星行为的思路

没有 只是在网上看到这个  帖子  就转过来了
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT