四成黑客从事免杀 是否存在真正威胁?
时间:08-07
来源:IT专家网
点击:
每年暑假都是黑客病毒活动猖獗的时候,而最近几年大有越演越烈的趋势,而近又闻"某某黑客站长长期收徒,主要教灰鸽子、抓鸡、DDOS攻击、木马制作、网站入侵、网站挂马、木马脱壳、免杀、捆绑服务器的制作与维护、网吧安全与入侵等,承接各类黑客业务"。07上半年各大反病毒厂商统计,木马病毒占了其中绝大多书,且不论这种木马病毒是否真的有技术含量,光是病毒产生的数量就足已令人生畏。许多人在利益的驱动下,更是将病毒公开叫卖,从写程序到传播,到销售再到洗钱分账,木马病毒这条产业链已经悄然壮大。
几年前,黑客对用户而言还是比较神秘的人物,而如今随着互联网的飞速发展,我国的"黑客"集聚增长,大有将电影《黑客帝国》拿到现实中翻版之势。近日,江民科技发布的"2007年黑客行为分析"最新调查数据显示,2007年黑客行为呈明显上升趋势,有近四成以上的黑客正在研究"免杀病毒"技术,研制"免杀病毒"和在互联网交流"免杀技术"已经成为黑客们最为热衷、追捧的行为。
"免杀",顾名思义就是逃避杀毒软件的查杀,目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种,通常黑客们会针对不同的情况来运用不同的免杀方法。 由于杀毒软件的主要工作方式是特征码匹配杀毒,通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀,才能顺利进入系统、进而完成病毒程序中已定义过的工作。我们了解了杀毒软件的弱点就可以思考如何实现"免杀"。
加壳
壳我们可以理解为一个类似RAR的压缩工具,通过对病毒源代码进行一定格式的压缩就形成了一个壳,比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,甚至有些变态的黑客喜欢用多种壳来反复加密。这样的经过反复加密直到杀毒软件无法判断病毒的特征码,就完成了一次"免杀"。当然这样的壳可以在短时间内获得"免杀",但很快就会被反病毒厂商所识破。
加花指令
加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令,如在病毒原文件中做位运算,让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但这样的病毒在虚拟机中是很容易被现出原形的。所以这种类型的"免杀"充其量可以突破盗版杀毒软件的检测。但也不能忽视一点,加花的过程如果在智能化一些,真不知道还有几个杀毒软件可以检测出。
修改特征码
病毒加壳虽然可以逃过一些杀毒软件的查杀,但是却逃不过杀毒软件的内存监控,因此修改特征码成为逃避杀毒软件内存检测唯一可能的办法。要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码,黑客们只需简单的修改就可以完成"免杀病毒"的制作了。这也就是为什么总是有人在网上宣称自己可以"免杀"的主要原因。
由于经过这些过程制作出来的病毒要早于反病毒软件的病毒库更新,所以"免杀"一直成为黑客议论的焦点,面对如此庞大的潜在"免杀"威胁,反病毒厂商该如何应对呢?其实"免杀"病毒并不可怕,如今但凡正规的杀毒软件可以通过启发式杀毒、虚拟机脱壳杀毒、以及前些时间炒得很火的行为检测来完成对"免杀"病毒的查杀。只是还存在另外一个不可忽视的问题,假如有一天通过一种全新的加密方式,我们的杀毒厂商又会有多少时间做出反应呢?
几年前,黑客对用户而言还是比较神秘的人物,而如今随着互联网的飞速发展,我国的"黑客"集聚增长,大有将电影《黑客帝国》拿到现实中翻版之势。近日,江民科技发布的"2007年黑客行为分析"最新调查数据显示,2007年黑客行为呈明显上升趋势,有近四成以上的黑客正在研究"免杀病毒"技术,研制"免杀病毒"和在互联网交流"免杀技术"已经成为黑客们最为热衷、追捧的行为。
"免杀",顾名思义就是逃避杀毒软件的查杀,目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种,通常黑客们会针对不同的情况来运用不同的免杀方法。 由于杀毒软件的主要工作方式是特征码匹配杀毒,通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀,才能顺利进入系统、进而完成病毒程序中已定义过的工作。我们了解了杀毒软件的弱点就可以思考如何实现"免杀"。
加壳
壳我们可以理解为一个类似RAR的压缩工具,通过对病毒源代码进行一定格式的压缩就形成了一个壳,比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,甚至有些变态的黑客喜欢用多种壳来反复加密。这样的经过反复加密直到杀毒软件无法判断病毒的特征码,就完成了一次"免杀"。当然这样的壳可以在短时间内获得"免杀",但很快就会被反病毒厂商所识破。
加花指令
加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令,如在病毒原文件中做位运算,让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但这样的病毒在虚拟机中是很容易被现出原形的。所以这种类型的"免杀"充其量可以突破盗版杀毒软件的检测。但也不能忽视一点,加花的过程如果在智能化一些,真不知道还有几个杀毒软件可以检测出。
修改特征码
病毒加壳虽然可以逃过一些杀毒软件的查杀,但是却逃不过杀毒软件的内存监控,因此修改特征码成为逃避杀毒软件内存检测唯一可能的办法。要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码,黑客们只需简单的修改就可以完成"免杀病毒"的制作了。这也就是为什么总是有人在网上宣称自己可以"免杀"的主要原因。
由于经过这些过程制作出来的病毒要早于反病毒软件的病毒库更新,所以"免杀"一直成为黑客议论的焦点,面对如此庞大的潜在"免杀"威胁,反病毒厂商该如何应对呢?其实"免杀"病毒并不可怕,如今但凡正规的杀毒软件可以通过启发式杀毒、虚拟机脱壳杀毒、以及前些时间炒得很火的行为检测来完成对"免杀"病毒的查杀。只是还存在另外一个不可忽视的问题,假如有一天通过一种全新的加密方式,我们的杀毒厂商又会有多少时间做出反应呢?
- 黑客攻击顶级域名服务器数小时 属5年来之最(01-08)
- TJX公司数据泄漏事件的安全教训(05-22)
- 防黑客“抓鸡” 暑期江民免费杀毒(06-04)
- MySpace网页遭黑客入侵被植入恶意代码 (06-06)
- 双重手段确保网银安全(06-04)
- 新黑客技术 能够利用普通编程错误(06-25)