如何达到免杀效果
" d! l/ ]% ~- W( }2 Q7 c% \. |最近有调查报告显示，知名品牌的杀毒软件对新型计算机病毒的查杀率只有20%，而漏杀率却高达80%。那么是什么原因造成这种状况的?到底是如今的病毒过于厉害，还是杀毒软件的能力有限?今天我们就通过实例来看看是什么“刺瞎”了杀毒软件的双眼。4 K8 F! Y; f) c# s; ^8 F, Z; \
黑客姓名：于谦- {1 X% Q  O- i* }# G
黑客特长：免杀程序的制作
  w9 ^* Y% Z: ^) T9 @使用工具：MaskPE. _" f4 ]/ ^! M; c
使用工具：超级加花器) U+ ~$ @! c+ C- V; ]2 G$ M/ y- t
使用工具：Private exe Protector
  h5 [+ ~) v" h- E% r" S, ?黑客自白：) l+ S0 p, p8 f& j. f
由于木马软件都存在着“黑”特性，所以每当它们被公布出来不久，就会被杀毒软件所查杀。为了避免这种情况的发生，我开始研究如何对黑客程序进行免杀，让各种各样的杀毒软件在它们面前成为“睁眼瞎”。) y  B+ Y& c5 c$ ^; k
如何才能起到免杀效果+ X( b) ~6 ]% A
现在的杀毒软件对任何病毒的查杀，都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀，会通过各种方法对它进行修改或伪装，也就是进行免杀处理。6 l7 ?4 `+ S7 M, H* D. r% P' m
目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码，因此很多时候通过一种方法很难达到免杀效果，这时需要几种方法配合才能起到免杀效果。0 Z0 H  J2 ]) f  @, i
一、免杀从程序内部开始
1 H& M8 e: ?! u* S' ]准备好我们要免杀的黑客程序。首先进行加密处理，运行加密程序MaskPE，它是一款自动修改PE文件的软件，可以将程序原有的源代码打乱，这样就能生成免杀的木马或病毒。
+ P5 N3 N0 J) `7 P点击“Load File”按钮选择免杀程序，在“Select Information”列表中任意选择一项，最后点击“Make File”按钮，在弹出的窗口中对加密的文件进行另存即可(图1)。
& |- |) f' o3 H5 R6 f' i

二、花指令迷惑杀毒软件
. k4 ~; _9 V! M& O4 r4 r) x: l# c运行“超级加花器”，这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放，接着在“花指令”下拉列表中选择一种花指令，单击“加花”按钮后就可以了(图2)。这样，一段花指令就被成功地添加到黑客程序代码的最前面，那些从文件头提取特征码的杀毒软件也就无能为力了。
8 h1 U2 ^! V/ o9 T5 H# w

三、加壳阻止杀毒软件分析
, Q: s9 j, @3 x7 M然后进行加壳处理，这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行Private exe Protector这款加壳程序，在出现的“应用程序”列表中设置需要免杀的黑客程序。再将下面“设置”选项中将“动态保护”勾选上，最后点击工具栏中的“开始保护”按钮即可马上进行加壳处理(图3)。; ~: f( Y: F8 z3 L4 p0 `8 `

四、改入口点防特征码对比
2 x8 \: L  u$ ~* f' a9 l' _" n8 I最后进行更改入口点的处理，它的目的和加壳处理相似，就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序，点击“浏览”按钮选择黑客程序，找到“入口点”这个信息选项，接着在原来的数值的基础上加上1，接着点击“应用更改”按钮就可以完成刚才的设置确认(图4)。. R* b. w$ W* D. e: _- q

当黑客程序进行完免杀处理以后，首先要使用多款杀毒软件对它进行杀毒检测，没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站(www.virustotal.com)进行检测。/ b9 L* |, y  L8 V- g
如果已经不被杀毒软件所查杀了，还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后，才能确定该黑客程序是否免杀成功。6 S9 r" Q, \7 Z! O/ S. I

沙发

金山毒霸官方网站提供最新金山毒霸2008免费下载地址:http://www.kingsoft-zj.cn/