四成黑客从事免杀 是否存在真正威胁？

每年暑假都是黑客病毒活动猖獗的时候，而最近几年大有越演越烈的趋势，而近又闻"某某黑客站长长期收徒，主要教灰鸽子、抓鸡、DDOS攻击、木马制作、网站入侵、网站挂马、木马脱壳、免杀、捆绑服务器的制作与维护、网吧安全与入侵等，承接各类黑客业务"。07上半年各大反病毒厂商统计，木马病毒占了其中绝大多书，且不论这种木马病毒是否真的有技术含量，光是病毒产生的数量就足已令人生畏。许多人在利益的驱动下，更是将病毒公开叫卖，从写程序到传播，到销售再到洗钱分账，木马病毒这条产业链已经悄然壮大。

　　几年前，黑客对用户而言还是比较神秘的人物，而如今随着互联网的飞速发展，我国的"黑客"集聚增长，大有将电影《黑客帝国》拿到现实中翻版之势。近日，江民科技发布的"2007年黑客行为分析"最新调查数据显示，2007年黑客行为呈明显上升趋势，有近四成以上的黑客正在研究"免杀病毒"技术，研制"免杀病毒"和在互联网交流"免杀技术"已经成为黑客们最为热衷、追捧的行为。

　　"免杀"，顾名思义就是逃避杀毒软件的查杀，目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种，通常黑客们会针对不同的情况来运用不同的免杀方法。　　由于杀毒软件的主要工作方式是特征码匹配杀毒，通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀，才能顺利进入系统、进而完成病毒程序中已定义过的工作。我们了解了杀毒软件的弱点就可以思考如何实现"免杀"。

　　加壳

　　壳我们可以理解为一个类似RAR的压缩工具，通过对病毒源代码进行一定格式的压缩就形成了一个壳，比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，甚至有些变态的黑客喜欢用多种壳来反复加密。这样的经过反复加密直到杀毒软件无法判断病毒的特征码，就完成了一次"免杀"。当然这样的壳可以在短时间内获得"免杀"，但很快就会被反病毒厂商所识破。

　　加花指令

　　加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令，如在病毒原文件中做位运算，让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。加花以后，一些杀毒软件就检测不出来了，但这样的病毒在虚拟机中是很容易被现出原形的。所以这种类型的"免杀"充其量可以突破盗版杀毒软件的检测。但也不能忽视一点，加花的过程如果在智能化一些，真不知道还有几个杀毒软件可以检测出。

　　修改特征码

　　病毒加壳虽然可以逃过一些杀毒软件的查杀，但是却逃不过杀毒软件的内存监控，因此修改特征码成为逃避杀毒软件内存检测唯一可能的办法。要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码，黑客们只需简单的修改就可以完成"免杀病毒"的制作了。这也就是为什么总是有人在网上宣称自己可以"免杀"的主要原因。

　　由于经过这些过程制作出来的病毒要早于反病毒软件的病毒库更新，所以"免杀"一直成为黑客议论的焦点，面对如此庞大的潜在"免杀"威胁，反病毒厂商该如何应对呢?其实"免杀"病毒并不可怕，如今但凡正规的杀毒软件可以通过启发式杀毒、虚拟机脱壳杀毒、以及前些时间炒得很火的行为检测来完成对"免杀"病毒的查杀。只是还存在另外一个不可忽视的问题，假如有一天通过一种全新的加密方式，我们的杀毒厂商又会有多少时间做出反应呢?