技巧有七:
1.木马自删除,针对鸽子这类后门自删除要小心,鸽子的自删除似乎可以在DAT中搜索BAT改为CMD,就可
以过,而Gh0stt是DLL辅助删除Load就不会被拦截
2.木马释放文件或Copy、Move自身千万不要到关键目录特别是WINDOWS和SYSTEM32中
3.木马释放文件或Copy、Move自杀呢的后缀名,鸽子的后缀可以改为为COM、SCR,Gh0st的似乎随便改
4.调用敏感程序,例如调用RUNDLL32、CMD等可能会被拦截(eBug中我发现直接运行RUNDLL32都拦截)
5.注入进程,这个虽然可以增加隐蔽性,但要注意方法,否则很可能被拦截!特别是鸽子大白鲨之类的,只
要注入就直接Kill了,最好不选
6.默认开启键盘记录,这个很危险,不光瑞星主动拦截,360卫士也有提示
7.如果都没有什么过分的动作,请参考10瑞星主动方法——伪装正常文件
