从免杀的角度忽悠忽悠杀毒软件
说起杀毒软件我们首先要知道
杀软查杀病毒的原理
这里有一个名词
就是特征码
特征码说白了就是病毒内的一句代码
杀软就是凭借这句代码作为是否为病毒的依据
这就代码就是特征码
特征码又分文件特征码和内存特征码
这里就不详细说了
下面会说到
这是杀软查杀病毒的原理之一
另外是通过运行方式来查杀
因为病毒有自己的运行方式和敏感信息
他和其他正常软件运行是不同的
杀软就凭借它的运行方式来作为查杀的依据
所以这样就免不了会出现误杀的情况
因为很多软件运行时只要接近病毒的运行方式
就会被杀软查杀
这种行为查杀
对于卡巴斯基叫做主动防御
在nod叫做高级启发式
其实都是这个意思
还有一种方式就是
看流量
比如卡巴斯基
内有一个网络流量监控功能
如果我们长时间的利用一个工具上传文件
比如是纳米机器人
它就会默认为是病毒
然后切段网络连接
==================================================
既然知道了杀软查杀病毒的原理
那黑客就很容易通过修改特征码和主动防御来躲避杀软的查杀
首先要定位出文件的特征码
这个事免杀方面的知识
这里不多讲解
定位出后
要有一定的汇编知识
对特征码进行修改
这样文件表面的特征码就躲过了杀毒软件的查杀了
为什么说是文件表面的特征码呢
因为还有一个与其相对的内存特征码
因为一个程序运行后要载入到内存
所以还会对内存进行扫描查杀
一旦发现内存中存在特征码还是会被查杀的
所以还要对内存特征码进行定位修改
===================================================
通过以上我们可以看到
其实杀毒软件是傻瓜式的
它就是拿自己本身的病毒库和病毒的代码进行比较
一旦有对应上的就查杀
对应不上的就不视为病毒
所以我们只要对病毒稍加改变
就会躲过杀软的查杀
但是杀软的病毒库是不短更新的
这句特征码修改以后可能不杀了
但是病毒库一更新
又会出现新的特征码
这样病毒还是会被查杀的
如此说来
杀毒软件还是有一定的滞后性的
只有提取到特征码
才能对病毒进行查杀
但是有些时候
往往很长时间才会提取到新的特征码
比如前一段时间有个叫斗鱼的壳
给病毒加上之后
所有的杀软都不杀
还有就是熊猫烧香
所以为了保证我们计算机的安全
要及时更新我们的病毒库
=====================================================
文件表面和内存特征码都过了
下来就要看行为免杀了
现在的杀软真是很难对付
我这里指的是国外的杀软
杀毒能力真是很强大
比较著名的行为免杀是卡巴和nod
另外卡巴的文件表面查杀很是强大
很是让一些免杀高垂头丧气
但是内存查杀几乎是摆设
另外国内的瑞星内存查杀很是厉害
对于杀软的行为免杀也是有很多方法的
比如修改敏感信息
或者给病毒加上杀软的证书
让杀软误认为病毒是杀软
达成一个不被查杀的目的
=============================================
我个人认为
现在杀软的查杀方式是很落后的
因为它始终是在被病毒牵着鼻子走
杀软的最终查杀方式要步入到行为查杀
现在各个杀软也都逐步的在做这方面的研究
=============================================
再来分析一下国内的杀软吧
我这里只是站在免杀的角度去分析
对与否
大家不要骂我啊
目前国内的杀软
我个人感觉只有瑞星还可以
因为瑞星的内存查杀很是不错
甚至高于国外的软件
比如
卡巴斯基
虽然文件表面查杀强大
但他的内存查杀几乎就是摆设
其他的也是如此
这一点应该是我们国内杀软的骄傲
另外瑞星也开始了对行为查杀的研究
现在做的也很是不错
另外还有一款国内的软件就是微点
唯一一款以行为查杀为主的杀软
虽然现在可能在技术上不是很成熟
不过这是一种趋势
====================================================
综上所述
我们没有必要去争论哪个杀软好或者不好
每个杀软都有自己的特长
也有自己的特点
至于哪个杀软好
是在是无法衡量
只能说适合自己的才是最好的
页:
[1]