| 哇塞!瑞星出2011咯~!@#¥%……& 有什么好高兴的?DeBug了一阵,终于过掉了,技巧有七: 1.木马自删除,针对鸽子这类后门自删除要小心,鸽子的自删除似乎可以在DAT中搜索BAT改为CMD,就可 以过,而Gh0stt是DLL辅助删除Load就不会被拦截 2.木马释放文件或Copy、Move自身千万不要到关键目录特别是WINDOWS和SYSTEM32中 3.木马释放文件或Copy、Move自杀呢的后缀名,鸽子的后缀可以改为为COM、SCR,Gh0st的似乎随便改 4.调用敏感程序,例如调用RUNDLL32、CMD等可能会被拦截(eBug中我发现直接运行RUNDLL32都拦截) 5.注入进程,这个虽然可以增加隐蔽性,但要注意方法,否则很可能被拦截!特别是鸽子大白鲨之类的,只 要注入就直接Kill了,最好不选 6.默认开启键盘记录,这个很危险,不光瑞星主动拦截,360卫士也有提示 7.如果都没有什么过分的动作,请参考10瑞星主动方法——伪装正常文件 |