很多人都在依赖杀毒软件而自己几乎不能判断。然而,杀毒软件有些时候是可以被绕过的。
本文目的在于让大家知道杀毒软件不是万能的,实际操作时可能遇到的问题不做考虑,将本文原理用作非法用途的行为与本站无关。
我们知道php解析器自身有数字签名什么的,是一个合法的程序,而且它也还是有点名气吧,杀毒软件自然不会报毒。nginx也是这样。同时这两个东西都不需要安装,说实在的,我也就因为这一点用它们在我自己电脑上搭了环境,非常方便的。不过我们这里要说的不是这一点,实际上我们可以把它打包好发给别人,一般别人也不会知道都是什么,不行的话就把目录藏得深一点。
当然有些配置得调整一下,这里不多做介绍,毕竟本文又不是要教你做黑客。。
然后我们就可以开始写php了。不过如果只是简单的写个木马什么的话,可能因为一些原因外部访问不到。既然外部不能访客我们就得换个思路,把这个过程反过来,我们弄一个有公网IP的电脑,至少,装上数据库,让“病毒”不超时并一直连着这个数据库,写个死循环来不停的读取,当然了,每次读取完要sleep一秒,不然两边都吃不消。一旦读取到指令就执行它,并把这条指令从数据库中删除,然后把结果返回数据库的另一张表。然后我们需要写个批处理或是其他的程序来启动这些东西,并打开这个网页。一旦网页打开,我们就能操作那台机器,当然了,权限一般不会太高,不过,浏览下别人的文件什么的,下载别人的照片一般是没问题的(除非他那边的文件读写权限控制得很严)
至此,我们使用的PHP解析器、nginx都是合法的程序,php文件也是文本的形式,杀毒软件应该是不会报读的。当然我们还需要再做一些处理,不然别人会把网页关掉的,还是写个程序吧,用system或是其他的来启动解析器和nginx,然后放隐藏一个浏览器的控件,即使只会PHP,c#拖个控件应该问题不大,不然还是转行算了,不过仍然需要往这个程序里放点东西,其实再弄一个浏览器控件打开一个网页(游戏或其他)也是可以的。这样批处理就可以不需要了。当然这个程序可以在加一些防御,不过不能做得太可疑,特别是不能引起杀毒软件的注意。
好了,我们成功的绕过了杀毒软件的防御。其实类似的漏洞还很多,以前就看到过用“白+黑”的方式绕过杀毒软件(一个程序往往会分成很多部分,除一个exe,还有一些dll在需要时加载,以节省内存,并且方便管理,不过如果我们破解正常程序中一个dll,加入恶意代码,想想看这个时候会发生什么呢?),不过现在,特别是国内主流的杀毒软件基本上都能对付(不过我个人还是不太推荐用国内的)。而且某杀毒软件官方在谈论一些安全问题时也提过一些防御存在着软肋,是可以被绕过去的。我甚至怀疑(当然不只是我),有些杀毒软件存在“交保护费放行”的情况(当然,可能限制了数量,毕竟不能做得太明显)。
在本文结尾处再次提醒,请不要随意打开来路不明的可执行文件(含exe,bat,com,甚至是js什么的,word什么的中可能也存在宏病毒),当然,其实dll文件是比较特殊的,它确实可以执行,不过它自身没有入口,实际上你会发现直接点是打不开的,它只能被其他程序加载进自身才能执行,也就是说,只要你不乱放就好了