免杀如何过杀软的主防？

2008年，杀软已迈入了主动防御时代。
注册表监视，文件监视，有害行为判断可以拦截大部分病毒木马的运行。在这种情况下，病毒木马想要运行，就面临2种选择，选择A，绕

过主动防御运行。选择B，干掉杀软的主动防御然后运行。
要绕过主动防御，必须存在一个前提，就是杀软存在防御盲区。比如，杀软监视了注册表，监视了注册表各个启动项，我们无法通过注册

表实现自启动。那么我可以使用其他方法，比如DLL劫持，PE文件感染来实现自启动。
再比如，杀软屏蔽了远程线程的注入方式，那么我们使用普通的钩子进行注入。
但是，不同的杀软，有着不同的防御盲区。一种绕过方法可能在卡巴上行得通，但是在瑞星下就被杀掉了。我们也很少有耐心逐个杀软的

进行测试，因此，选择B，干掉杀软的主动防御才是病毒木马未来的趋势。
早期的主动防御，仅仅恢复SSDT就可以干掉。但是现在有很多杀软进行了深度的inline HOOK，仅仅恢复SSDT就失效了。而且现在还有一些

专门的反木马软件，比如360BOX，360TRAY，超级巡警等等，这些软件都进行了深度的 inline hook。这些软件inline HOOK 的位置互不相同，

我们不太可能一一恢复。而且就算你有足够的耐心，将这些inline hook位置 与相应在磁盘的文件位置进行一一对比，一一恢复。还有另外一

个未知的问题等着你：你的恢复是否会产生蓝屏？杀软是否会检测它自己的HOOK？所以，恢复inline hook的办法可以针对某些杀毒。但是不要

指望用它干掉所有杀毒。
难道真的没有办法了吗？当然不是，有种办法可以让你知道某个进程的名字，就可以终止它的运行。这就是“映像劫持”。不过“映像劫

持”是需要修改注册表的。（映像劫持本身是很简单的，你可以理解为在注册表的某个地方写入进程名）那我们又如何在主动防御下修改注册

表呢？办法很多，最简单的是“关机消息拦截”。下面我简单地介绍一下：
当WINDOWS关机的时候，它会向所有的程序窗口逐个发送一个消息，询问是否可以关机。如果你的程序回答“是”。并且所有