网页资讯视频图片知道文库贴吧地图采购
进入贴吧全吧搜索
杀毒吧 关注:13,831贴子:196,333
  • 4回复贴,共1

【转载】矛和盾的游戏 小谈病毒免杀和安软原理



  病毒和反病毒的战争
  互联网海洋浩浩汤汤,于其中乘风破浪,海阔天空中好不痛快。但在这一望无际的碧蓝里总会有那么几坨臭水,若是被淹上了,难免污了身子。而计算机恶意软件(囊括病毒、木马、恶意广告软件等,下文简称病毒)又是最为令人作呕的污秽之一,如果被病毒乘虚而入,轻则不利身心成长,重则浮尸百万血流千里。人们开始意识到裸奔虽爽,但在互联网的海洋中一丝不挂真心危险,为了抵御病毒,各式各样的安全软件诞生了。

         病毒能让电脑们尸横遍野
  个人市场中的安全软件最初主要以杀毒软件的形式存在,事实上直到今天大多数人谈到如何反病毒的时候,第一反应也是杀毒软件。的确,杀毒软件诞生至今,一次次给了病毒无情的打击,得到了广大人民群众的热情拥护。于是,杀毒软件制作商遍地开花,广告一打再打恨不得在每个网站刷屏,业务一扩再扩甚至涉及到了娱乐业(咦?),价格一降再降直到免费成为主流。

         著名的免费杀软——Avira(小红伞)
  然而,包括杀毒软件在内的安全软件并非是一定有效的,计算机病毒的制作者怎么看都是一些不三不四的怪叔叔,无论你在酮体外套了多少件防护服,他们都会尝试着把你扒光然后笑嘻嘻地把邪恶的触手伸到最深处——嗯,系统的最深处。这就是病毒的免杀技术,专用于逃避安全软件的追杀。

         病毒宛如邪恶的触手
  是可忍孰不可忍,打着正义大旗的护花使者们怎能忍心看到自己的金主被玩坏呢,于是安全服务提供商们不断研发新型的反病毒技术,安软和病毒旷日持久的战争就这样打了好多年。在战争的日子里,病毒和安软双方都进行了大规模的军备竞赛,你有张良计,我有过墙梯。

         病毒和安软已经较量多年
  我们可以看到,就如同病菌和抗生素的战争史,计算机病毒和安全软件也上演着相似的故事。从一开始安全软件对病毒的绝对压制,到病毒对安软的反攻(甚至出现了专门感染安软的病毒),到现在病毒开发的傻瓜化和安全软件的多体系防护,双方共同书写了一段段红黑相间的血泪恩怨史。那么,病毒到底有些什么手段去躲避安全软件的绞杀呢?安全软件又有什么方法能在茫茫0101中把病毒给揪出来呢?下面我们来简单谈谈病毒的免杀技术和安软的防护查杀原理。


2026-06-27 19:29:57
广告
不感兴趣
开通SVIP免广告
  病毒免杀技术:加花和修改特征码
  病毒的免杀技术
  加花
  除了加壳以外,病毒也经常使用“加花”的方法来改变自己的特征,以躲避杀软的查杀。
  所谓“加花”,是指在病毒程序中加入一段无用的用以混淆视听的代码,如计算用的汇编指令及入口点的内存地址跳转,改变病毒的特征,在不影响病毒正常运作的前提下,逃过杀毒软件的侦测。
  举个例子,1+1这道算术题所有人都知道它的结果是什么,但如果在后面加入一段结果等于0的积分算式,虽然这个算术题的结果并没有变,但很多人说不定就不知道怎么做了。加花也是利用类似的原理,让杀软检测不到特征码。

         加了一身草,谁也认不了
  对付加花这类免杀技术,目前杀软主要利用广谱特征码(基因码)以及启发式扫描等技术来侦测,效果十分明显。一般来说,对加花免杀技术的破解市面上的安全软件都有自己的一套心得,如avast和MSE都使用了基因码,nod32和小红伞的启发式扫描则比较有名。
  修改特征码
  人总会有个相貌,代码也会有自己的特征。杀毒软件都有着一套病毒特征库,可以对应已知病毒的特征代码,判断某段代码是否属于病毒。
 如果病毒的特征不变,即使加了壳,也有可能会被杀软查杀。病毒运行的时候需要载入内存,在载入内存之时,病毒需要先自我脱壳才能运行。在这时,如果杀软的内存查杀可靠、反应迅速的话,病毒就会被特征库识别,继而被杀软爆得体无完肤。

         病毒终须载入内存运行
  针对这个问题,病毒制造者们发明出了修改文件、内存特征码的方法来避免杀软查杀。和方法的名字一样,修改病毒的文件特征码,可以避免病毒在进驻电脑时被查杀;修改内存特征码则可以避免病毒运行的时候被查杀。这里所说的修改特征码,并不是说制作一个新的病毒,而是修改已有的病毒,掩盖病毒特征迷了杀软的眼。
  修改特征码的针对性很强,当年熊猫烧香之所以能够感染大量用户的电脑,就是专门针对国内装机量较大的几款杀软进行了免杀处理。于是国内满城皆是辛酸泪,遍野无处不哀鸿。

         看到这个图标不少人都还心有余悸
  修改特征码这种免杀技术的针对性很强,能有效地针对某款杀软进行免杀处理,这是它的威力,也是它的缺陷——每款杀软对病毒特征的定义都不同。比如说,阿星认人可能认相貌,阿山认人却只认身材——你在脸上涂多少粑粑也没用。
  除此以外,杀软的病毒特征库也是处于实时升级的,修改一次特征码往往只能针对某一期的特征库。当年卡巴斯基升级特征库以后,熊猫烧香被迅速击杀,就是这个道理了。另外,修改病毒特征码也具有较高的难度,需要知道到底哪段东西属于病毒的特征码,还需要掌握一定的汇编知识。



 反病毒技术:HIPS
  安全软件的反病毒技术
  HIPS
  http://pcedu.pconline.com.cn/soft/virus/rj/1206/2844029_all.html#content_page_6



矛和盾的游戏 小谈病毒免杀和安软原理
2012-06-29 17:49 出处:pconline 作者:Aimo 责任编辑:censi
http://pcedu.pconline.com.cn/soft/virus/rj/1206/2844029_all.html



扫二维码下载贴吧客户端

下载贴吧APP
看高清直播、视频!
  • 4回复贴,共1
分享到: