如何讓殺毒軟件成“睜眼瞎” -電腦資料

　　Gdk798{display:none;}

　　最近有調(diào)查報告顯示，知名品牌的殺毒軟件對新型計算機(jī)病毒的查殺率只有20%，而漏殺率卻高達(dá)80%，

如何讓殺毒軟件成“睜眼瞎”

。那么是什么原因造成這種狀況的?到底是如今的病毒過于厲害，還是殺毒軟件的能力有限?今天我們就通過實(shí)例來看看是什么刺瞎了殺毒軟件的雙眼。

　　 姓名：于謙

　　 特長：免殺程序的制作

　　使用工具：MaskPE

　　使用工具：超級加花器

　　使用工具：PrivateexeProtector

　　 自白：

　　由于木馬軟件都存在著黑特性，所以每當(dāng)它們被公布出來不久，就會被殺毒軟件所查殺。為了避免這種情況的發(fā)生，我開始研究如何對 程序進(jìn)行免殺，讓各種各樣的殺毒軟件在它們面前成為睜眼瞎。

　　如何才能起到免殺效果

　　現(xiàn)在的殺毒軟件對任何病毒的查殺，都是建立在擁有該病毒的特征碼的基礎(chǔ)上的。 為了讓木馬程序不被殺毒軟件查殺，會通過各種方法對它進(jìn)行修改或偽裝，也就是進(jìn)行免殺處理。

　　目前常見的免殺方法有加殼、加花(指令)、修改特征碼、變換入口點(diǎn)、入口點(diǎn)加密等。同時當(dāng)前主流的殺毒軟件都采用了復(fù)合特征碼，因此很多時候通過一種方法很難達(dá)到免殺效果，這時需要幾種方法配合才能起到免殺效果。

　　實(shí)戰(zhàn)程序免殺

　　一、免殺從程序內(nèi)部開始

　　準(zhǔn)備好我們要免殺的 程序。首先進(jìn)行加密處理，運(yùn)行加密程序MaskPE，它是一款自動修改PE文件的軟件，可以將程序原有的源代碼打亂，這樣就能生成免殺的木馬或病毒，

電腦資料

《如何讓殺毒軟件成“睜眼瞎”》(http://m.clearvueentertainment.com)。

　　點(diǎn)擊LoadFile按鈕選擇免殺程序，在SelectInformation列表中任意選擇一項(xiàng)，最后點(diǎn)擊MakeFile按鈕，在彈出的窗口中對加密的文件進(jìn)行另存即可(圖1)。

　　二、花指令迷惑殺毒軟件

　　運(yùn)行超級加花器，這是一款全新的加花程序。首先將服務(wù)端程序直接拖動到程序的主界面進(jìn)行釋放，接著在花指令下拉列表中選擇一種花指令，單擊加花按鈕后就可以了(圖2)。這樣，一段花指令就被成功地添加到 程序代碼的最前面，那些從文件頭提取特征碼的殺毒軟件也就無能為力了。

　　.Fzp712{display:none;}　　三、加殼阻止殺毒軟件分析

　　然后進(jìn)行加殼處理，這樣可以阻止殺毒軟件將獲取的源代碼和特征碼進(jìn)行比對。運(yùn)行PrivateexeProtector這款加殼程序，在出現(xiàn)的應(yīng)用程序列表中設(shè)置需要免殺的 程序。再將下面設(shè)置選項(xiàng)中將動態(tài)保護(hù)勾選上，最后點(diǎn)擊工具欄中的開始保護(hù)按鈕即可馬上進(jìn)行加殼處理(圖3)。

　　四、改入口點(diǎn)防特征碼對比

　　最后進(jìn)行更改入口點(diǎn)的處理，它的目的和加殼處理相似，就是讓殺毒軟件無法從 程序的入口點(diǎn)來獲取源代碼。運(yùn)行PEditor這款軟件修改程序，點(diǎn)擊瀏覽按鈕選擇 程序，找到入口點(diǎn)這個信息選項(xiàng)，接著在原來的數(shù)值的基礎(chǔ)上加上1，接著點(diǎn)擊應(yīng)用更改按鈕就可以完成剛才的設(shè)置確認(rèn)(圖4)。

　　當(dāng) 程序進(jìn)行完免殺處理以后，首先要使用多款殺毒軟件對它進(jìn)行殺毒檢測，沒有安裝殺毒軟件的用戶也可以通過一個多引擎樣本查毒網(wǎng)站(http://www.virustotal.com

　　如果已經(jīng)不被殺毒軟件所查殺了，還要在本地測試經(jīng)過免殺處理后的程序是否能正常的運(yùn)行。只有進(jìn)行了這一系列測試以后，才能確定該 程序是否免殺成功。