“黑客基地站长长期收徒,主要教灰鸽子、抓鸡、DDOS攻击、木马制作、网站入侵、网站挂马、木马脱壳、免杀、捆绑服务器的制作与维护、网吧安全与入侵等,承接各类黑客业务”。在百度贴吧上,类似的广告比比皆是,而受利益的驱动,病毒更是可以公开叫卖,从写程序到传播,到销售再到洗钱分账,由此产生的黑客制造病毒的产业链更是令人触目惊心。
几年前,黑客还离我们普通大众十分遥远,然而随着互联网的飞速发展,我国的“黑客”辈出,病毒与反病毒之间的较量更是逐年升级,网络安全环境遭受了严峻的考验。
近日,由江民科技发布的“2007年黑客行为分析”最新调查数据显示,2007年黑客行为呈明显上升趋势,有近四成以上的黑客正在研究“免杀病毒”技术,研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷、追捧的行为。
“免杀”,顾名思义就是逃避杀毒软件的查杀,目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种,通常黑客们会针对不同的情况来运用不同的免杀方法。一位不愿意透露姓名的资深黑客,向记者详细介绍了最为流行的“病毒免杀”技术。
“想要了解病毒免杀技术的原理,首先要了解杀毒软件的工作方式。杀毒软件的工作方式一般是特征码匹配杀毒,通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀,才能顺利实现其入侵系统、盗取用户私密信息的目的,‘免杀’病毒则应运而生。”
免杀技术之一:加花指令
加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像江民杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。
免杀技术之二:加壳
举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
免杀技术之三:修改特征码
病毒加壳虽然可以逃过一些杀毒软件的查杀,但是却逃不过杀毒软件的内存杀毒,因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。举例来说,如果程序是一张烙饼,那特征码就像上面的芝麻,每一张饼上面的芝麻位置是不同的,所以每个程序包括病毒特定位置上面的字符也是不同,这粒用来识别是不是病毒的“芝麻”就是特征码。
要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码,黑客们只需简单的修改就可以完成“免杀病毒”的制作了。
面对不断翻新的病毒“免杀”技术,传统杀毒软件特征码查杀技术就表现得相对滞后,而如何有效地防杀“免杀病毒”成为摆在杀毒软件厂商面前的最大问题。
对此问题,江民反病毒专家何公道告诉记者,“免杀病毒”并不可怕,杀毒软件可以通过智能主动防御系统、虚拟机脱壳杀毒等技术来实现对“免杀病毒”的查杀。江民杀毒软件KV2008新型的智能主动防御系统可以对未知病毒进行主动监控,对病毒层层拦截,可以让号称“免杀”的病毒无处可逃。即使有个别新病毒和恶性病毒入侵了系统,也无法逃避江民杀毒软件主动防御系统的层层截杀。
