浅谈360主动防御(360提示)、瑞星主动及360实时查杀的免杀技

现在的360很变态,一方面联合360杀毒,360安全卫士,后台收集数据进行联合防御策略

根据我的研究,360实时监视你的电脑,如果你的某个文件操作不符合系统规范时,比如

后台安装服务,插入进程,COPY文件到系统目录,他就将父文件等全部后台上传,进入360

服务器后,进行MD5定位,这时,如果有如果有其他电脑同MD5文件进行操作时,在360安

全卫士木马防火墙就会给你拦截,360杀毒也会查杀,这就是360公司所谓的云查杀,当然他

还有复杂的计算系统,这里就不一一道出了针对360的这套防御系统,我们要怎么做才能通过呢?

老猪我针对这套系统做了以下几个策略:

1、  针对后台上传

后台上传很烦人,现在基本上远控人气好的的几个小时被杀,差的一两天,但是,360后台

上传有一个弊端,中国的网络基本上都是ADSL,那么上传的最大理论值是56K,所以一般

大文件,他不会上传,那么我就针对这个问题,在被控端安装时,对起进行体积增加,这样

,一旦文件大了 他也就不上传了,这样就会保证你的免杀持久那么有很多客户或者内奸,

一旦更新了免杀,他直接上传检测怎么办?针对这个问题,我进行了自我增大优化,我远

控的更新全部是在服务器更新,下载免杀时,更新器直接将更新的免杀在主控端进行自我

增加,增加很大,那么一般人也就不会上传杀毒网或者360后台上传了,因为几十兆的文件,

他上传要几个小时,谁愿意费这劲呢?是不是。那么这么大的文件,生成的被控端安装程序

比较大怎么办?其实,我在主控端免杀增加的体积,不是无的放矢的,我可以增加当然可以

提取,创建安装程序时,提取原来的文件,这样最大可能保证你的免杀持久。

2、  如果你的文件被360杀掉怎么办?

其实360实时查杀并不是真正的查杀,他只是针对文件的MD5值进行校验,如果正确,就确定

这个文件时毒,如果不正确就不是毒,改变MD5值的方法太多了,换个图标,改个版本号什

么的,所以我在服务端做了个自动免杀,将文件进行变动,我服务器2小时更新一次,你360不

是实时查杀吗?你不是快吗,你快我更快,看谁更牛X。另外,因为我安装被控端时,对被控

端安装文件进行了体积增大,一增大,MD5值当然更不一样了,这样就进入良性循环,360从

此无忧。

3、360主动防御(360提示)
        现在过360提示很麻烦,你插进程不行,建服务也不行,更不能动注册表,NND,你够狠,可是难

道这样我就没办法了吗?你狠我更狠,老子安装时扫描被控端的启动列表,你一台电脑总得有几个启

动项吧,老子把你启动的程序给换了,启动我的程序后,我再启动你原来的程序,我也不动你的注册表

也不建服务,我看你怎么办?等你把我这招防御住了,老猪我还有几套备用方案呢。

3、  瑞星主动
其实瑞星就一2B,过主动很简单,安装的时候加装一个窗体文件,不能纯DLL文件,窗体你可以设置

成最小的一个点,这样就能过了,是不是超级简单?另外老猪研究了一套系统,可以兼容任何木马

发表评论

电子邮件地址不会被公开。 必填项已用*标注