2013年6月6日 星期四

防毒軟體免殺心得

  1. 程式執行時間不可過短(360)
360的云查杀其查杀本质就是MD5验证,验证“指定位置的文件”与已经知道的MD5是否未知,这里说的指定的位置”指的可以是活动进程,一般启动项,进程加载项,系统服务,Explorer对象,动态链接等等
有人甚至根据360对未知文件上传后自动用5款杀软件查杀以及根据此文件的上报数目来确定是否划定为“安全级别”的本质进行逃脱360云查杀的追杀。

 曾经我利用系统命令(Subst,Runsa,Junction)成功突破360的云查杀检测,其实这些方法的本质主要是在一个目录(磁盘)里运行木马后,删除这个目录(磁盘)。一般情况下木马运行后,其目录是无法删除的,但利用Subst命令将任意目录虚拟成一个磁盘驱动器,然后在磁盘驱动器里运行木马,这样还是可以利用-D参数删除其磁盘驱动器以此达到云查杀无法找到木马的目的(目前已失效)。Junction 命令则利用了两个文件夹进行连接,连接后运行木马,最后删除连接。至于Runsa 命令过360则利用非管理员账户权限运行的云查杀程序是无法检测管理员运行的任何程序这个小BUG来突破云查杀,当然网上存在改云查杀目录的批处理过云查杀,随着360文件自保护的出现此方法也已经效用。至于在特殊文件夹下运行木马开过360云查杀,这个只是一种理想情况下的设想。当然还有一种文件独占方法,这涉及编程方面,在此不多阐明,不过网上已经出现了利用此原理而过云查杀的工具,名为“Amoeba-Additional Protector”。

 不要以为,云查杀的方法就已经结束了,其实过云查杀的方法还有种叫HOSTS劫持方法,因为云查杀进行MD5对比的时候,必须与服务器的文件知识库进行对比,所以只要屏蔽了此服务器的地址就可以轻松过360云查杀,其抵地址为:quf.f.360.cn
综上所述,要想过云查杀,其实就是让云查杀程序上传我们的木马程序,或者屏蔽360进行云查杀检测。经过几个月连续的思索,在禁止360上传我们的木马这个层次,有了新的突破,暂时名为“局域共享法”,而在屏蔽360云查杀让其无法连接其存放文件MD5数据的“知识库”,发现来自某位网友提供的“防火墙法”则十分之巧妙。
“局域共享法”:此方法是由360上传木马这个层次出发而得的小技巧,原理非常之简单,建立局域网共享文件夹,运行共享文件夹的木马删除共享文件夹,为Subst方法之变种

经典的IPC入侵,估计大家都已经耳熟能详了。为了达到突破云查杀的目的,首先,我要创建一个共享文件。

 这个时候,我们可以看到F盘已经被共享了,

 为了更详细的描述此方法的细节,我进行映射处理,相信 对于IPC入侵熟悉的你应该知道如何操作吧。

这个时候,你会我们多了一个名为X的磁盘驱动器。

 测试前,我们首先把木马进行一次云查杀,我用网上出的绿色版本进行查杀,

 这里的测试程序是“hscangui1.exe”,晕,原来发现这个绿色版本居然也是个病毒。然后我们把此程序放到我们的X盘进行运行。然后进行删除映射的驱动器,命令如下:

 这个过程居然需要我们手动输入Y进行断开连接,断开后,我们就看不到映射的磁盘驱动器了,减少用户的怀疑。然后再运行一下云查杀看看。

这个时候,从上图中就可以看到我们的木马已经躲过了一劫。虽然我的电脑感染病毒严重,但测试结果是不会得到任何的影响的。其实这只是一种思路,当然我们可以直接在浏览器中打开我们的木马文件运行,而非映射驱动器,然后再删除共享目录一样可以达到过云查杀的目的,至于文章所遇到的要手动输入Y以端开连接这个问题就留给叉子们自己思考了。
至于“防火墙法”其实这个是暗组一位朋友提供给大家的一种思路,都知道防火墙法是用于黑客入侵的软件,但忘记了事物都有两面性,刀可以切菜一样可以用来杀人。所以只要我们屏蔽360对外部的连接就可以过360云查杀,当然也可以屏蔽其升级。

 最后公布一个小技巧:利用CHKDSK命令可以卸载安装在非系统盘的360安全卫士,达到过其主动防御的目的。因为其卸载了整个盘的句柄,当然360也失去了效用。而过云查杀的话,那就卸载木马程序所在的句柄之后,再删除木马原文件,照样过其云查杀。

 总结:本文主要探索了过云查的N种思路,揭示过360云查杀的本质就是使其无法找到我们的木马文件,或者无法进行MD5的对比验证。无法找到文件,我们可以使用“目录消失”或者文件独占进行对抗,而屏蔽验证我们可以进行HOSTS劫持或者防火墙进行抗衡

http://www.yunsec.net/a/special/software/miansha/

    沒有留言:

    張貼留言