浅谈360主动防御(360提示)、瑞星主动及360实时查杀的免杀技

现在的360很变态,一方面联合360杀毒,360安全卫士,后台收集数据进行联合防御策略

根据我的研究,360实时监视你的电脑,如果你的某个文件操作不符合系统规范时,比如

后台安装服务,插入进程,COPY文件到系统目录,他就将父文件等全部后台上传,进入360

服务器后,进行MD5定位,这时,如果有如果有其他电脑同MD5文件进行操作时,在360安

全卫士木马防火墙就会给你拦截,360杀毒也会查杀,这就是360公司所谓的云查杀,当然他

还有复杂的计算系统,这里就不一一道出了针对360的这套防御系统,我们要怎么做才能通过呢?

老猪我针对这套系统做了以下几个策略:

1、  针对后台上传

后台上传很烦人,现在基本上远控人气好的的几个小时被杀,差的一两天,但是,360后台

上传有一个弊端,中国的网络基本上都是ADSL,那么上传的最大理论值是56K,所以一般

大文件,他不会上传,那么我就针对这个问题,在被控端安装时,对起进行体积增加,这样

,一旦文件大了 他也就不上传了,这样就会保证你的免杀持久那么有很多客户或者内奸,

一旦更新了免杀,他直接上传检测怎么办?针对这个问题,我进行了自我增大优化,我远

控的更新全部是在服务器更新,下载免杀时,更新器直接将更新的免杀在主控端进行自我

增加,增加很大,那么一般人也就不会上传杀毒网或者360后台上传了,因为几十兆的文件,

他上传要几个小时,谁愿意费这劲呢?是不是。那么这么大的文件,生成的被控端安装程序

比较大怎么办?其实,我在主控端免杀增加的体积,不是无的放矢的,我可以增加当然可以

提取,创建安装程序时,提取原来的文件,这样最大可能保证你的免杀持久。

2、  如果你的文件被360杀掉怎么办?

其实360实时查杀并不是真正的查杀,他只是针对文件的MD5值进行校验,如果正确,就确定

这个文件时毒,如果不正确就不是毒,改变MD5值的方法太多了,换个图标,改个版本号什

么的,所以我在服务端做了个自动免杀,将文件进行变动,我服务器2小时更新一次,你360不

是实时查杀吗?你不是快吗,你快我更快,看谁更牛X。另外,因为我安装被控端时,对被控

端安装文件进行了体积增大,一增大,MD5值当然更不一样了,这样就进入良性循环,360从

此无忧。

3、360主动防御(360提示)
        现在过360提示很麻烦,你插进程不行,建服务也不行,更不能动注册表,NND,你够狠,可是难

道这样我就没办法了吗?你狠我更狠,老子安装时扫描被控端的启动列表,你一台电脑总得有几个启

动项吧,老子把你启动的程序给换了,启动我的程序后,我再启动你原来的程序,我也不动你的注册表

也不建服务,我看你怎么办?等你把我这招防御住了,老猪我还有几套备用方案呢。

3、  瑞星主动
其实瑞星就一2B,过主动很简单,安装的时候加装一个窗体文件,不能纯DLL文件,窗体你可以设置

成最小的一个点,这样就能过了,是不是超级简单?另外老猪研究了一套系统,可以兼容任何木马