收藏本站 收藏本站
积木网首页 - 软件测试 - 常用手册 - 站长工具 - 技术社区
积木学院 > 黑客技术 > 菜鸟入门 > 正文

杀毒软件工作方式及躲过杀毒软件途径

来源:互联摘选 日期:2005-09-18 10:31

写给新手看的,研究的时间不长,难免有的地方有问题,不要笑,会打击自信心D哦!~

前提需知:
以下所说的病毒是指病毒、木马、蠕虫、黑客工具等。
特征码:如果程序是一张烙饼,那特征码就像上面的芝麻,每一张饼上面的芝麻位置是不同的,所以每个程序包括病毒特定位置上面的字符也是不同,这粒用来识别是不是病毒的“芝麻”就是特征码
一。杀毒软件工作方式
1.文件查杀(特征码位于PE文件头处),杀毒软件代表:诺顿
2.文件查杀(特征码位于代码段内),杀毒软件代表:卡巴斯基(简称:卡巴)
3.内存查杀(可防止加壳病毒躲过杀毒软件,病毒运行中可以查杀),杀毒软件代表:瑞星
二。躲过杀毒软件的途径(通常所说的免杀处理)
1.加壳
  a.加压缩壳
  b.加密壳
  c.加生僻壳
  d.多重壳
  e.伪装壳
  f.打乱壳的头文件
2.修改特征码
3.修改程序
  a.修改入口地址
  b.入口地址+1
   c.使用相同效果指令替换原指令
  d.加花指令
三。详解
1.加壳
    如果说程序是一张饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么,打过包装后当然会看起来大一点,程序也一样,文件会变大一点,当然,也有例外,比如压缩壳(壳的一个种类),就好象压缩饼干,包装后东西变小了。壳一般分两种,一种是加密壳一种是压缩壳,用加密壳加过之后程序会变大,而压缩壳会使程序变小,当然,有的壳不仅可以加密还能压缩。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面看到上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,让杀毒软件犯傻。而打乱壳的头文件也是相近的方法,都是让杀毒软件识别不出来的方法。

附:常见的压缩壳
    UPX
      ASpack
      Petite
      PECompact
      PE-PACK
      WWPack32
      NeoLite
      Shrinker
      PKLITE32
      常见的加密壳

强悍的草根IT技术社区,这里应该有您想要的!
Copyright © 2010 Gimoo.Net. All Rights Rreserved  京ICP备05050695号