作者:expsky

声明:本文由expsky@MS509Team原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。

杀软与病毒木马的对抗从未停止,特别是在windows平台过去的十年里。技术对抗客观促成了如今windows平台安全技术相比十年前早已日新月异,安全技术门槛被提升到了非常的高度,带来的好处就是,相当部分的原木马作者被挡在了门槛之外,而想入行的新手要面临更大的难度。但另一方面需要警惕的是,剩下的少数木马作者走向了更加专业化、团队化的道路,所以频现一些所谓的特种木马。

木马的主要技术难度不在功能上,比如截屏、远控、回传文件、盗取密码帐号等都不是主要的技术难点,主要的难点还是在与杀软的对抗上面,试想一下如果在一台没装杀软的电脑上,不需要什么注入、白加黑、rootkit技术来隐藏进程,不需要用什么高深未公开的方式来实现自启动,不需要精心构造隐秘通道实现C&C通信,不需要加密混淆来躲避静态查杀,也不用担心调用了跨进程内存读写或者注册表敏感位置读写、磁盘扇区读写、驱动加载等被杀软主防列为的危险API…….只需一个十多年前的简单木马就可以为所欲为。

下面演示了一种新的技术思路,可能关闭大多数杀毒软件。目前针对国内最具代表性的360安全卫士进行了测试,可以成功关闭360(目前最新版本:领航版10.3)
360

由于此技术已验证有效,如被恶意利用,可产生很大危害,故不在这里公开技术细节。下面是演示程序下载地址,在已运行了360安全卫士的电脑上执行本演示程序,可看到演示效果。

演示程序下载 http://pan.baidu.com/s/1qYiw2BU 密码: cay1

下面是演示过程的录屏动画(360退出过程是自动完成的,非人为操作。下载演示程序运行一下就很清楚了)

demo2

本演示程序没有进行细化,只是用来验证技术思路,也未大面积测试,但在我这里的win7和win10的两个环境下都能稳定运行。再次说明了攻防对抗的硝烟从未散去,安全从业人员不能放松警惕…