最近有调查报告显示,知名品牌的杀毒软件对新型计算机病毒的查杀率只有
20%,而漏杀率却高达80%。那么是什么原因造成这种状况的?到底是如今的病
毒过于厉害,还是杀毒软件的能力有限?我们来看看他们的步骤和方法!!
由于木马软件都存在着“黑”特性,所以每当它们被公布出来不久,就会被杀
毒软件所查杀。为了避免这种情况的发生,黑客必须研究如何对黑客程序进行
免杀,让各种各样的杀毒软件在它们面前成为“睁眼瞎”,目前常见的免杀方
法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等.
一、免杀从程序内部开始
准备好要免杀的黑客程序。首先进行加密处理,运行加密程序MaskPE,它是一
款自动修改PE文件的软件,可以将程序原有的源代码打乱,这样就能生成免杀
的木马或病毒。
点击“Load File”按钮选择免杀程序,在“Select Information”列表中任
意选择一项,最后点击“Make File”按钮,在弹出的窗口中对加密的文件进
行另存即可。
二、花指令迷惑杀毒软件
运行“超级加花器”,这是一款全新的加花程序。首先将服务端程序直接拖动
到程序的主界面进行释放,接着在“花指令”下拉列表中选择一种花指令,单
击“加花”按钮后就可以了。这样,一段花指令就被成功地添加到黑客程序代
码的最前面,那些从文件头提取特征码的杀毒软件也就无能为力了。
三、加壳阻止杀毒软件分析
然后进行加壳处理,这样可以阻止杀毒软件将获取的源代码和特征码进行比对
。运行Private exe Protector这款加壳程序,在出现的“应用程序”列表中
设置需要免杀的黑客程序。再将下面“设置”选项中将“动态保护”勾选上,
最后点击工具栏中的“开始保护”按钮即可马上进行加壳处理。
四、改入口点防特征码对比
最后进行更改入口点的处理,它的目的和加壳处理相似,就是让杀毒软件无法
从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序,点击“
浏览”按钮选择黑客程序,找到“入口点”这个信息选项,接着在原来的数值
的基础上加上1,接着点击“应用更改”按钮就可以完成刚才的设置确认。
当黑客程序进行完免杀处理以后,首先要使用多款杀毒软件对它进行杀毒检测
,没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站
(
www.virustotal.com)进行检测。
如果已经不被杀毒软件所查杀了,还要在本地测试经过免杀处理后的程序是否
能正常的运行。只有进行了这一系列测试以后,才能确定该黑客程序是否免杀
成功。
此文的介绍是普及知识,不要做坏事!!
