关于免杀的实践

      流行的杀毒软件如Kaspersky, 360等已经在系统层对文件的活动进行了监测,对于流行的病毒只要一经发现,必然会及时遏止病毒的传播。一种流行的Nanocore在植入时就先检测杀毒软件的运行情况,在病毒生成之前先关闭Avast, Windows Defender等杀毒产品,进而运行可执行文件。对于普通用户来说,不安装杀毒软件就是恶梦。如果没有杀毒软件对系统层的可疑活动进行监测,病毒植入的成功率会大大提高。实测发现,360杀毒的能力非常好。(是否具有管理员权限,就可以杀死360进程,这个问题需要后续进行实测。)

      Windows word文档的宏功能是病毒运行的温床,VBA代码能够做到文件下载并使用shell运行可执行文件。VBA的简单性降低了病毒开发的门槛,而Word的运行模式让病毒的运行看起来非常自然。操作系统的UAC控制是阻止病毒运行的重要环节,因为病毒会设法以Administrator的权限运行,更改注册表,设置开机自启,因此切记要阻止未知来源的软件安装和运行。

你可能感兴趣的:(关于免杀的实践)