最近有調(diào)查報(bào)告顯示,知名品牌的殺毒軟件對(duì)新型計(jì)算機(jī)病毒的查殺率只有20%,而漏殺率卻高達(dá)80%。那么是什么原因造成這種狀況的?到底是如今的病毒過于厲害,還是殺毒軟件的能力有限?今天我們就通過實(shí)例來看看是什么“刺瞎”了殺毒軟件的雙眼。
黑客姓名:于謙
黑客特長(zhǎng):免殺程序的制作
使用工具:MaskPE
使用工具:超級(jí)加花器
使用工具:Private exe Protector
黑客自白:
由于木馬軟件都存在著“黑”特性,所以每當(dāng)它們被公布出來不久,就會(huì)被殺毒軟件所查殺。為了避免這種情況的發(fā)生,我開始研究如何對(duì)黑客程序進(jìn)行免殺,讓各種各樣的殺毒軟件在它們面前成為“睜眼瞎”。
如何才能起到免殺效果
現(xiàn)在的殺毒軟件對(duì)任何病毒的查殺,都是建立在擁有該病毒的特征碼的基礎(chǔ)上的。黑客為了讓木馬程序不被殺毒軟件查殺,會(huì)通過各種方法對(duì)它進(jìn)行修改或偽裝,也就是進(jìn)行免殺處理。
目前常見的免殺方法有加殼、加花(指令)、修改特征碼、變換入口點(diǎn)、入口點(diǎn)加密等。同時(shí)當(dāng)前主流的殺毒軟件都采用了復(fù)合特征碼,因此很多時(shí)候通過一種方法很難達(dá)到免殺效果,這時(shí)需要幾種方法配合才能起到免殺效果。
一、免殺從程序內(nèi)部開始
準(zhǔn)備好我們要免殺的黑客程序。首先進(jìn)行加密處理,運(yùn)行加密程序MaskPE,它是一款自動(dòng)修改PE文件的軟件,可以將程序原有的源代碼打亂,這樣就能生成免殺的木馬或病毒。
點(diǎn)擊“Load File”按鈕選擇免殺程序,在“Select Information”列表中任意選擇一項(xiàng),最后點(diǎn)擊“Make File”按鈕,在彈出的窗口中對(duì)加密的文件進(jìn)行另存即可(圖1)。