正在阅读:矛和盾的游戏 小谈病毒免杀和安软原理矛和盾的游戏 小谈病毒免杀和安软原理

2013-08-01 15:36 出处:PConline原创 作者:Aimo 责任编辑:censi

病毒的免杀技术

  加花

  除了加壳以外,病毒也经常使用“加花”的方法来改变自己的特征,以躲避杀软的查杀。

  所谓“加花”,是指在病毒程序中加入一段无用的用以混淆视听的代码,如计算用的汇编指令及入口点的内存地址跳转,改变病毒的特征,在不影响病毒正常运作的前提下,逃过杀毒软件的侦测。

  举个例子,1+1这道算术题所有人都知道它的结果是什么,但如果在后面加入一段结果等于0的积分算式,虽然这个算术题的结果并没有变,但很多人说不定就不知道怎么做了。加花也是利用类似的原理,让杀软检测不到特征码。

加了一身草,谁也认不了
加了一身草,谁也认不了

  对付加花这类免杀技术,目前杀软主要利用广谱特征码(基因码)以及启发式扫描等技术来侦测,效果十分明显。一般来说,对加花免杀技术的破解市面上的安全软件都有自己的一套心得,如avast和MSE都使用了基因码,nod32小红伞的启发式扫描则比较有名。

  修改特征码

  人总会有个相貌,代码也会有自己的特征。杀毒软件都有着一套病毒特征库,可以对应已知病毒的特征代码,判断某段代码是否属于病毒。

  如果病毒的特征不变,即使加了壳,也有可能会被杀软查杀。病毒运行的时候需要载入内存,在载入内存之时,病毒需要先自我脱壳才能运行。在这时,如果杀软的内存查杀可靠、反应迅速的话,病毒就会被特征库识别,继而被杀软爆得体无完肤。

病毒终须载入内存运行
病毒终须载入内存运行

  针对这个问题,病毒制造者们发明出了修改文件、内存特征码的方法来避免杀软查杀。和方法的名字一样,修改病毒的文件特征码,可以避免病毒在进驻电脑时被查杀;修改内存特征码则可以避免病毒运行的时候被查杀。这里所说的修改特征码,并不是说制作一个新的病毒,而是修改已有的病毒,掩盖病毒特征迷了杀软的眼。

  修改特征码的针对性很强,当年熊猫烧香之所以能够感染大量用户的电脑,就是专门针对国内装机量较大的几款杀软进行了免杀处理。于是国内满城皆是辛酸泪,遍野无处不哀鸿。

看到这个图标不是人都还心有余悸
看到这个图标不少人都还心有余悸

  修改特征码这种免杀技术的针对性很强,能有效地针对某款杀软进行免杀处理,这是它的威力,也是它的缺陷——每款杀软对病毒特征的定义都不同。比如说,阿星认人可能认相貌,阿山认人却只认身材——你在脸上涂多少粑粑也没用。

  除此以外,杀软的病毒特征库也是处于实时升级的,修改一次特征码往往只能针对某一期的特征库。当年卡巴斯基升级特征库以后,熊猫烧香被迅速击杀,就是这个道理了。另外,修改病毒特征码也具有较高的难度,需要知道到底哪段东西属于病毒的特征码,还需要掌握一定的汇编知识。

键盘也能翻页,试试“← →”键

关注我们

最新资讯离线随时看 聊天吐槽赢奖品