2007年4月25日星期三

实例操作 如何让杀毒软件成“睁眼瞎”


最近有调查报告显示,知名品牌的杀毒软件对新型计算机病毒的查杀率只有20%,而漏杀率却高达80%。那么是什么原因造成这种状况的?到底是如今的病毒过于厉害,还是杀毒软件的能力有限?今天我们就通过实例来看看是什么"刺瞎"了杀毒软件的双眼。


黑客姓名:于谦


黑客特长:免杀程序的制作


使用工具:MaskPE


使用工具:超级加花器


使用工具:Private exe Protector


黑客自白:


由于木马软件都存在着"黑"特性,所以每当它们被公布出来不久,就会被杀毒软件所查杀。为了避免这种情况的发生,我开始研究如何对黑客程序进行免杀,让各种各样的杀毒软件在它们面前成为"睁眼瞎"。


如何才能起到免杀效果


现在的杀毒软件对任何病毒的查杀,都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理。


目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码,因此很多时候通过一种方法很难达到免杀效果,这时需要几种方法配合才能起到免杀效果。


实战程序免杀


一、免杀从程序内部开始


准备好我们要免杀的黑客程序。首先进行加密处理,运行加密程序MaskPE,它是一款自动修改PE文件的软件,可以将程序原有的源代码打乱,这样就能生成免杀的木马或病毒。


点击"Load File"按钮选择免杀程序,在"Select Information"列表中任意选择一项,最后点击"Make File"按钮,在弹出的窗口中对加密的文件进行另存即可(图1)。



二、花指令迷惑杀毒软件


运行"超级加花器",这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放,接着在"花指令"下拉列表中选择一种花指令,单击"加花"按钮后就可以了(图2)。这样,一段花指令就被成功地添加到黑客程序代码的最前面,那些从文件头提取特征码的杀毒软件也就无能为力了。



三、加壳阻止杀毒软件分析


然后进行加壳处理,这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行Private exe Protector这款加壳程序,在出现的"应用程序"列表中设置需要免杀的黑客程序。再将下面"设置"选项中将"动态保护"勾选上,最后点击工具栏中的"开始保护"按钮即可马上进行加壳处理(图3)。



四、改入口点防特征码对比


最后进行更改入口点的处理,它的目的和加壳处理相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序,点击"浏览"按钮选择黑客程序,找到"入口点"这个信息选项,接着在原来的数值的基础上加上1,接着点击"应用更改"按钮就可以完成刚才的设置确认(图4)。



当黑客程序进行完免杀处理以后,首先要使用多款杀毒软件对它进行杀毒检测,没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站(www.virustotal.com)进行检测。


如果已经不被杀毒软件所查杀了,还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后,才能确定该黑客程序是否免杀成功。




Related Posts:

  • 架设维护Windows Server 2003网页服务器Windows下的WWW服务器以其架设方便、操作简单赢得了很多人的青睐,下面笔者将以Windows Server 2003为例来介绍如何配置一个Web服务器,望能对刚入门的网管员有所帮助。  一、架设Web服务器  默认安装的Windows Server 2003没有配置IIS服务,需要我们手工安装。进入控制面板,执行“添加或删除程序→添加/删除 Windows 组件”进入Windows组件向导窗口,勾选“应用程序服务器→Internet 信息服… Read More
  • DVD刻录不可小觑:教你十二招刻录绝技事实上DVD刻录机和CD刻录机从盘片到刻录机本身都有很大的不同,如果不注意一些问题,会造成使用不当,轻者刻录的盘片质量不佳,严重的甚至会烧毁刻录机。那么我们应该如何使用好DVD刻录机这一光存储的新宠呢?笔者在长期使用的过程中总结了这十二招,相信能帮助大家玩转DVD刻录机。 第一,防尘、防潮。注意刻录机的清洁卫生,这一点对所有光存储设备来说都是非常重要的。 第二,保证供电。在刻录的过程中要消耗很大的功率才能融化染色剂,并且刻录是一个相对… Read More
  • XP系统中代码为“c000021a”蓝屏、无法重新进入系统的紧急解决办法今天,360安全中心接到大量用户举报,在升级微软KB924270补丁程序后,诺顿会弹出病毒提示,按照其提示操作后系统出现蓝屏崩溃,重启电脑后无法进入系统。经查,原因如下:诺顿反病毒软件升级到5月17日版本后,会导致打过微软KB924270补丁的XP系统崩溃,其原因是诺顿将KB924270更新过的netapi32.dll和lsasrv.dll文件误报为Backdoor.Haxdoor后门病毒,并且把他们隔离掉。经过调查,lsasrv.dll和net… Read More
  • 解开被锁注册表的四种方法你是否遇到过这样的情况:某天打开一个网址后,但过后你的IE默认主页被修改了,在无法恢复的情况下想进入注册表来试试,但是发现注册表也被锁定了,这个时候怎么办呢?那就看看下面本文所讲的四种方法,能够帮你很好的解决这个问题。     一、解锁方法:     1.你也可以用NotePad编辑一个文本文件,保存文件的时候用格式 xxxxxx.reg     在文件中打入以下:     REGEDIT 或 REGEDIT4     [HKEY_USERS.D… Read More
  • 可升级的光纤布线系统光纤是一把通向未来智能建筑的一把钥匙,它可以满足重要业务的应用并能够平滑过渡到明天的数千兆网络方案。ITT工业集团NS&S公司能够提供连接未来商务通讯的基础通讯设施。借助于ITT工业集团设在全世界五大洲的各个机构以及其庞大的财政力量和工程技术方面的优势,NS&S公司向全球客户提供世界范围的支持。由于我们的布线解决方案能够深入到那些把数据传输可靠性放在首位考虑的一些重要用户和相关市场中,因而世界上最主要的金融机构,高科技实体和相关媒体机构都乐意选择… Read More

0 评论: