投票
标题:实例操作 如何让杀毒软件成“睁眼瞎”
grape0915 (grape)
万物创造者
Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9
自己玩


论坛达人  百目惠识  
UID 6757
精华 7
积分 253264
帖子 8391
狼毛 507482 根
阅读权限 110
注册 2005-8-24
来自 canton
状态 离线
发表于 2007-4-25 17:50 资料 短消息  加为好友 
实例操作 如何让杀毒软件成“睁眼瞎”

2007-4-25 9:40:00  出处:电脑报

  最近有调查报告显示,知名品牌的杀毒软件对新型计算机病毒的查杀率只有20%,而漏杀率却高达80%。那么是什么原因造成这种状况的?到底是如今的病毒过于厉害,还是杀毒软件的能力有限?今天我们就通过实例来看看是什么“刺瞎”了杀毒软件的双眼。

  黑客姓名:于谦

  黑客特长:免杀程序的制作

  使用工具:MaskPE

  使用工具:超级加花器

  使用工具:Private exe Protector

  黑客自白:

  由于木马软件都存在着“黑”特性,所以每当它们被公布出来不久,就会被杀毒软件所查杀。为了避免这种情况的发生,我开始研究如何对黑客程序进行免杀,让各种各样的杀毒软件在它们面前成为“睁眼瞎”。

  如何才能起到免杀效果

  现在的杀毒软件对任何病毒的查杀,都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理。

  目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码,因此很多时候通过一种方法很难达到免杀效果,这时需要几种方法配合才能起到免杀效果。

  实战程序免杀

  一、免杀从程序内部开始

  准备好我们要免杀的黑客程序。首先进行加密处理,运行加密程序MaskPE,它是一款自动修改PE文件的软件,可以将程序原有的源代码打乱,这样就能生成免杀的木马或病毒。

  点击“Load File”按钮选择免杀程序,在“Select Information”列表中任意选择一项,最后点击“Make File”按钮,在弹出的窗口中对加密的文件进行另存即可(图1)。



  二、花指令迷惑杀毒软件

  运行“超级加花器”,这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放,接着在“花指令”下拉列表中选择一种花指令,单击“加花”按钮后就可以了(图2)。这样,一段花指令就被成功地添加到黑客程序代码的最前面,那些从文件头提取特征码的杀毒软件也就无能为力了。





  三、加壳阻止杀毒软件分析

  然后进行加壳处理,这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行Private exe Protector这款加壳程序,在出现的“应用程序”列表中设置需要免杀的黑客程序。再将下面“设置”选项中将“动态保护”勾选上,最后点击工具栏中的“开始保护”按钮即可马上进行加壳处理(图3)。



  四、改入口点防特征码对比

  最后进行更改入口点的处理,它的目的和加壳处理相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序,点击“浏览”按钮选择黑客程序,找到“入口点”这个信息选项,接着在原来的数值的基础上加上1,接着点击“应用更改”按钮就可以完成刚才的设置确认(图4)。



  当黑客程序进行完免杀处理以后,首先要使用多款杀毒软件对它进行杀毒检测,没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站(www.virustotal.com)进行检测。

  如果已经不被杀毒软件所查杀了,还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后,才能确定该黑客程序是否免杀成功。

 顶部
无及剑
呢喃的歌声
Rank: 2Rank: 2
使用默认


UID 17144
精华 0
积分 102
帖子 51
狼毛 0 根
阅读权限 10
注册 2006-7-17
来自 三门峡
状态 离线
发表于 2007-4-25 17:53 资料 短消息  加为好友 QQ
!太耸人听闻!

 顶部
fdcnvb
传说中的存在
Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8


UID 13204
精华 1
积分 62621
帖子 3819
狼毛 552 根
阅读权限 100
注册 2006-3-12
来自 北方
状态 离线
发表于 2007-4-25 17:59 资料 短消息  加为好友 
楼主会教坏弟弟妹妹的

 顶部
shoot (我是喷子)
执法众
Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8Rank: 8
我是CJ的CN


灌水之王  
UID 6743
精华 1
积分 33094
帖子 2909
狼毛 336513 根
阅读权限 100
注册 2005-8-24
来自 蜀
状态 离线
发表于 2007-4-25 18:30 资料 短消息  加为好友 QQ
做杀软的也不是傻的,把杀软做太好了怎么赚钱






 顶部
caowei258
敬畏的静寂
Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6Rank: 6


UID 13852
精华 1
积分 3267
帖子 215
狼毛 0 根
阅读权限 60
注册 2006-4-1
状态 离线
发表于 2007-4-25 21:51 资料 短消息  加为好友 
没病毒杀软吃什么,所以GHOST才索王道

 顶部
rengang
呢喃的歌声
Rank: 2Rank: 2



UID 10942
精华 0
积分 190
帖子 98
狼毛 0 根
阅读权限 10
注册 2006-1-10
状态 离线
发表于 2007-4-25 23:36 资料 短消息  加为好友 
长知识了.

 顶部
玩无止境
苍之风云
Rank: 4Rank: 4Rank: 4Rank: 4



UID 20701
精华 0
积分 813
帖子 710
狼毛 0 根
阅读权限 30
注册 2006-11-11
状态 离线
发表于 2007-4-29 14:14 资料 短消息  加为好友 


QUOTE:
原帖由 caowei258 于 2007-4-25 09:51 PM 发表
没病毒杀软吃什么,所以GHOST才索王道

难不成所有的盘都要备份

 顶部
24813874
该用户已被删除









发表于 2007-5-6 11:08 
*** 作者被禁止或删除 内容自动屏蔽 ***
 



当前时区 GMT+8, 现在时间是 2024-11-24 18:30
苏ICP备2024131517号

Powered by Discuz! 5.5.0 © 2001-2007
Processed in 0.012946 second(s), 8 queries, Gzip enabled

清除 Cookies - 联系我们 - 狼窝 - Archiver - WAP