正在阅读:矛和盾的游戏 小谈病毒免杀和安软原理矛和盾的游戏 小谈病毒免杀和安软原理

2013-08-01 15:36 出处:PConline原创 作者:Aimo 责任编辑:censi

病毒的免杀技术

  运行后效果明显的恶意代码很多,但把自己裸露出来的病毒也只能欺负一下同样是遍体无遮的裸奔电脑。杀毒软件对病毒的查杀要经过发现这一环,如何躲过杀软的查找,是一个所有病毒制造者需要思考的问题。1989年第一款杀毒软件McAfee诞生,1997年第一款可以自动变异的病毒“千面人”诞生,2005年免杀工具CCL诞生,病毒和杀软的针尖麦芒间一直飞溅着火花。

McAfee是最早的杀毒软件
McAfee是最早的杀毒软件

  现在流行的病毒大多数都作了免杀处理,那么主流的免杀技术有什么?我们一起来看看。

  加壳

  什么方式最容易把一个人藏起来?我们可以从偷渡者那里得到答案——把人装进密不透光的容器中。如果把病毒比作罪犯,把杀软比作警察,把用户的计算机系统比作城池,我们可以得到下面的案例。

  警察通过通缉令(病毒特征库)上面的样貌来查找罪犯。若是罪犯抛头露脸地在路上大摇大摆晃来晃去,简直就是在自寻死路——恐怕还没进入城门即已被警察击毙。但是,如果罪犯乘搭着一辆看不到里面的车子,情况就大不相同了。一般情况下,警察是无法打开这类车子的——门上都有锁呢;而警察也无法拦截这样的车子——因为这种车子实在是太多了 ,开地图炮把这类车子通通炸掉必然也会让一众路人躺着中枪(杀软误杀),如果出现这种情况,你觉得城主(计算机用户)还会请这种比病毒还狂的警察么?

没可能一炮把这么多车子轰掉
没可能一炮把这么多车子轰掉

  就这样,罪犯搭着车子穿过了一层又一层的城墙,进入到城池的核心区域,然后就开始对用户的电脑做奇怪的事情了,这时候警察想阻止也已经太晚了——病毒往往已经取得了高权限甚至把杀软给干掉了。

  对某段代码进行加壳,其实在我们日常生活中也很常见——压缩软件就是一种加壳工具。由于普及率高,对付加壳是否有效,已经成为了检验一款杀软是否优秀的重要标准。一般而言,杀软(嗯,这里说杀软,不说HIPS之类的其他安全软件)对付加壳有以下几种方法:

  一、警察开发出透视、隔空取物之类的功能,能发现车子里的罪犯,并且搞掉。这主要是形容脱壳技术,把已经加壳的代码完全或近似还原到未加壳的状态,此时警察就可以通过通缉令来查找罪犯了。这种方法技术含量比较高,因为壳往往多种多样,原理也大不相同,如何对付各式各样的车子,成为了警察头痛的难题。目前脱壳能力口碑比较好的杀软有俄罗斯的大蜘蛛等。

俄罗斯大蜘蛛杀毒软件
俄罗斯大蜘蛛杀毒软件

  二、虽说从车子外面看不到里面的人的相貌,但是车窗有时候还是会隐隐约约透露出人影。通过经验得知哪种人影其实是罪犯,并把这类影像也加入到通缉令,也是一种方法。不过这种方法十分不灵活,加壳者很容易改变加壳的参数,如此一来特征码也就改变了,收集这类特征码往往吃力不讨好。

  三、统计经常犯事的车子的类型,然后开地图炮,把加了这类壳的车子都轰掉。这就是所谓的“杀壳”,为了确保用户安全把加了某种类型的壳的程序全部视为病毒,采用这种技术的杀软误杀率往往也会比较高。使用“杀壳”技术的著名杀软有小红伞等。

键盘也能翻页,试试“← →”键

关注我们

最新资讯离线随时看 聊天吐槽赢奖品