最近萌生写一个恶意软件的想法,基本思路是流氓软件+传播(病毒)+核心指令,大家有何办法查杀。
用来做什么,现在还没想好,设计的框架可以从网络发布核心指令,可扩充。流氓软件不大带有传播性,只是与某些软件捆绑,加入它再有传播(病毒)的特性,那也就更难查杀。
基本实现目标:自动运行,不可卸载,隐藏安全,自动传播,杀毒软件无法查杀,自动下载核心指令。
自动运行,中招后,自动下载3个dll,植入到Explorer恶意代码,另一个以驱动形式存在(我在研究Win2K DDK),并尝试修改iexplorer.exe,植入恶意代码,这三个模块互相监视其它是否存在,如果不存在则从网站下载。感染其它EXE,同时执行此任务。除非所有注入模块全部失败,否则它会修复其它模块。感染了诸多Exe负责此任务,则手工杀掉的可能性很小,除非重装系统。
感染传播,在每一个可执行文件中新增一段,植入代码,修改入口地址,首先跳到植入代码处,执行完跳会,然后修复PE头,这是成熟的技术。自动搜索局域网EXE,有写权限的则植入代码。被感染的程序发布到其它程序后传播。
隐藏,感染用户可执行文件,手工无法分辨和分离,刚下载完的指令采用和系统名称类似的名称。
对付杀毒软件,现在有现成的技术,需要研究。
自动下载指令,采用自动更新技术,依靠版本判断。