文档介绍:一、免杀技术的发展
所谓“免杀”,就是逃避杀毒软件的查杀,目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种,通常黑客们会针对不同的情况来运用不同的免杀方法。
第一款杀毒软件Mcafee是于1989年诞生的。
1989年:第一款杀毒软件Mcafee诞生,标志着反病毒与反查杀时代的到来。
1997年:国内出现了第一个可以自动变异的千面人病毒(Polymorphic/Mutation Virus)。
2002年7月31日:国内第一个真正意义上的变种病毒“中国黑客II”出现。2004年:在黑客圈子内部,免杀技术由IT工程师之家团队在这一年首先公开提出。
2005年1月:L的软件作者tankaia在杂志上发表了一篇文章,L,从此国内黑客界才有了自己第一个专门用于免杀的工具。
2005年2月至7月:通过各方面有意或无意的宣传,黑客爱好者们开始逐渐重视免杀。
2005年8月:第一个可查的关于免杀的动画由IT工程师之家团队完成。
2005年9月:免杀技术开始真正的火起来。
[国内免杀技术的起源时间:2002年7月31日]
小提示:毫无疑问,“免杀”技术是目前最火热的技术之一。“免杀”是可用性很强,应用范围非常广的一门***。免杀往往是脚本入侵技术、病毒攻击技术等一些其他***的准备工作。举个简单的例子,当一个黑客发现并利用了一个网站所存在的脚本漏洞后,经过***最终得到了服务器的管理权限。为了方便和巩固控制,黑客往往需要将***传至对方网站服务器上(可能是脚本***,也可能是PE***),或者是rootkit,然而对方服务器上有很厉害的杀毒软件,当这些***被黑客上传到对方服务器之后,服务器上的杀毒软件识别并查杀出黑客上传的***或rootkit,使黑客的工具不能发挥作用。这在很大程序上影响了黑客对漏洞的利用。但是如果黑客上传的工具是经过免杀技术处理过的,那么黑客就可以通过简单有效的工具来巩固控制。显然,这只是一个很片面的例子,在真正的Hacking过程中,免杀技术几乎是无处不在,所以学好免杀技术对于一个信息安全技术爱好者是非常重要的。
免杀技术的定义
从前面可以看出,免杀指的就是让原本被杀毒软件或其它计算机安全工具捕获并查杀的文件,经过处理后变得不被捕获和查杀,这种技术就是免杀技术,这种处理过程就称为“免杀”,通常也称之为病毒免杀(因为被杀毒软件或其它计算机安全工具查杀的文件一般都称为病毒)。
杀毒软件的查杀原理
1、特征码法
杀毒软件运用特征码扫描确定某文件为病毒时,这个文件需要满足两个条件:
(1)该文件中的某一位置与杀毒软件病毒库的某一位置相对应。
(2)该位置上存放的代码与病毒库中定义的该位置上的代码相同。
特征码法的特点:
。
。
。
。
2、校验和法
运用校验和法查病毒采用三种方式:
(1)在检测病毒工具中纳入校验和法,对被查的对象文件计算正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
(2)在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件笨身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。
(3)将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的特点:
优点:方法简单、能发现未知病毒、被查文件的细微变化也能发现。缺点:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对什隐蔽型病毒。
3、行为监测法
利用病毒的特有行为特征来监测病毒的方法。
监测病毒的行为特征:
13H
、EXE文件做写入动作
行为监测法的特点:
行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
4、软件模拟法
在虚拟机中综合运用多种查杀方法就是通常所说的软件模拟法。
软件模拟法的特点:
软件模拟法的长处:对病毒的判定能力最强(因为综合了多种查毒方法)。
软件模拟法的短处:扫描速度慢,查毒往往不准确。
最终结论:
目前杀毒软件最主要还是依赖特征码识别技术来检测病毒。也就是说,特征码就是杀毒软件为了判定病毒而从病毒本身提取出来的有特点的代码,我们的免杀就是专门针对这些特征码的。也就是说,让杀毒软件找不到这些特征码就可以达到免杀的目的了,不过还有一点要强高速的是,文件本身的功能是不能损坏的,也就是