本文就某些以特征码查杀为主的木马专杀以及部分杀软做简要的分析.

本文涉及的杀软 /专杀 基本以国外的为主,仅做技术上的探讨

本人对此文产生的后果概不负责

首先我们看 特征码为主杀毒软件是怎样查杀木马的

以特征码技术为主的杀软 利用病毒库中设定的病毒特征码与文件中的特征码进行对比.如文件中有符合的病毒特征码将判断为 该文件为病毒

现代的正规杀软还融合了虚拟机技术进行病毒行为判断 以及针对程序入口点的启发式扫描.

什么是特征码

程序运行时，在内存中为完成特定的动作，要有特殊的指令，一个程序在运行时，同一内存地址的指令是相同的同一个程序中，一段连续的地址（它的指令相同），截取这段地址 这就是特征码

特征码怎么提取

对程序进行脱壳 反汇编 提取一段连续的地址（它的指令相同）即可

为了防止误杀 一般正规的杀软都是提取3处以上的关键特征.

为什么经过杀毒软件查杀以后,木马专杀仍然能杀出文件.

这个问题困扰了很多网友, 最直接的后果就是 得出这样一个结论: 杀毒软件杀马不行.

为什么绝大部分木马专杀在 引擎不如正规厂商以及病毒搜集能力也不如其他正规厂商的情况下,报毒的文件数远高于其他正规杀软?

但是这里我要揭穿各类木马专杀以及某些免费的杀软的诡计.

这类杀软做法非常简单,在特征码上面做手脚.大家都知道正规杀软在特征码的提取上非常严格,为了避免误杀杀软一般是提取至少3处 关键的  核心特征(缺少了这些特征文件无法运行), 目前杀软一般选择4-5处的特征.而这些木马专杀提取的特征数目就远远少于这个数目.一般情况下他们只提取2-3处的特征.这样做的直接结果是报毒文件数直接上升,但是绝大部分为误报.这种做法迎合了普通网民的心理,杀得越多说明杀软越好,殊不知 大量的系统文件和各类有用的软件就这样被杀了.

如图
大家都知道 rfwProxy是 瑞星防火墙的一个组件
upiea是 恶意软件的清理

大家看 第二张图
第一个文件是瑞星防火墙安装程序
第二到第四 是超级兔子的文件
最后两个我前面说过了

第三张图
图中的 文件均是易语言的工具包…..是正常的工具
最后我们说说病毒是怎样定义的.

这里的病毒包含常规的PE病毒 木马  蠕虫等.

杀毒软件定义病毒是非常严格的, 病毒必须会对计算机软件(硬件内的信息)进行破坏(包括修改删除) 或者有自动传播 或者会盗取信息 开启后门等.

但是某些专杀为了迎合用户心理,欺骗用户 夸报为 木马或者间谍.无疑 这是完全欺骗用户的行为.

总而言之,相当一部分的木马专杀以及某些杀软为了显示自己 “强大的杀马能力”不惜以误报为代价,在特征码上面做手脚,这种做法严重误导了用户,也给用户造成了损失.

注:本文图片均来自网络