wangxinyuan 发表于 2009-6-2 21:39:52

别相信你的杀毒软件

系列专题前言:今天中午看《今日说法》,报道深圳破获十几人的盗窃QQ犯罪集团,他们每天偷取、贩卖的QQ号个数上十万,每天牟取人民币数额上万。可能你觉得自己给人盗QQ号、盗网GAME装备没什么大不了,但你未来的公司可能通过网上银行给你发工资,你未来可能在网上交易股票,到那时后给人偷了交易密码,买到教训就太严重了。

震惊之余,作为一个掌握这门技术的人,我感觉到有责任宣传网络安全知识。于是就着手写系列普及文章,力求通俗易懂。



网络安全,还是早点学好。



专题一:杀毒软件,该警报时不警报

关键字:免杀,加花,加壳



我有很多朋友抱怨,装左杀毒软件之后,病毒还是越来越多。即使他的杀毒软件是正版的,每天都更新,重装还是免不了。



真的有杀毒软件杀不了的毒吗?

有,而且弄一个并不难。



黑客技术中重要的一门叫“免杀”,顾名思义,就是使病毒免除杀毒软件的狙击。我们首先要明白,杀毒软件是依靠“特征码”来判断一个程序是否病毒。我们更新杀毒软件,就是更新其“特征库”。“免杀”的概念就是,把一个病毒原有的特征修改掉,杀毒软件就认不了。



打比方说,你认得出自己的作业本是因为上面有你个名(特征),之后你表妹却把你的名字涂改掉了(免杀)。你就不知道哪本系自己的了(骗过了杀毒软件)。



对于杀毒软件,那个“名字”就是某一个病毒的“特征码”。黑客通过“免杀”技术,把特征抹掉,而本质却没有发生变化。就好似那本给涂改了名字的作业本,里面的内容是不会改变的。



越优秀的杀毒软件不仅判别病毒的“特征”多,而且判断的手法也多。著名的“卡巴司机”杀毒软件定义驰名中外的木马“灰鸽子”的特征码多达六条。但再多的特征码,黑客都可以将它一一修改,卡巴也奈何?



黑客们会用最新版本的杀毒软件(通常是卡巴+瑞星),来检测“免杀”成果。行内认为,能过卡巴+瑞星,其他的病毒防火墙也能过。所以,你的也能过。



怎么打造免死金牌?



“免杀”的左右手是“加花”和“加壳”。



原理十分简单。人人都知道计算机软件里面肯定有很多运算。“加花”的理论基础是小学数学。黑客会把一个病毒里的运算,例如“加2”,修改成“加1再加1”,这对病毒的运行是没有影响的,可是杀毒软件却不认得了,因为和特征码不同了。



然后过几天,杀毒软件更新了,连“加1再加1”都认出来了,于是黑客就改成““加1再加1,减2再加2”,怎么样?黑客有无限的可能,特征库的大小却有限。



每天更新的杀毒软件都挡不住最新的病毒?



一个病毒的发展路线是:有了第一批病毒的受害者,杀毒软件的厂商才会研究这个病毒,才会更新它的“特征库”。没有一个病毒制作者会先把病毒样板交给杀毒软件公司再传播其病毒的。如果人品不好,就成了第一批中毒者。恶毒的病毒进入你的电脑干的第一件事是瘫痪你的杀毒软件,令你连更新的机会也没有。



结论:不要以为装了杀毒软件就万事大吉。不要小看我们的技术。



敬请留意下一专题:病毒如何进入你的电脑?



附图:

笔者正在加花,红色的为“花指令”



/qzone/newblog/v5/editor/css/loading.gif d
页: [1]
查看完整版本: 别相信你的杀毒软件