杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩

杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩 本文来自：互联网仅供参考：Jonbo收藏 你杀或者不杀我，我就在那里不悲不喜…… 借用黑客防线的名言：“在攻与防的对立统一中寻求突破！” 小甲鱼从现在开始就厚着脸皮跟大家来谈谈杀毒软件查杀病毒、木马的原理以及病毒、木马如何做出应对和反击的措施。 第一篇 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩。 杀毒软件查杀病毒的原理 话说当年中国第一批病毒石头和小球病毒跟随着软盘悄悄地通过香港和美国进入了中国内地，并在人们得懵懵懂懂之间在大型企业和研究所之间广为传播，那时候中国人们猛然惊醒，甚至有带着口罩使用计算机的闹剧发生。 事实上我们要认识到，病毒也是一段程序，跟普通程序看上去并没有什么差别，只是实现了一些比较“不和谐”（小甲鱼似乎很喜欢这词哈~文明社会，注意和 谐！）的功能罢了。况且病毒的种类很多，木马事实上严格归类也是属于病毒的一种。不同病毒的代码各不相同，因此杀毒软件不能用一个固定的模型来判别所有的 病毒程序。这么一来，计算机病毒就存在不可识别性，查杀病毒就必须先搜集已知病毒的样本，然后通过剖析病毒，再将病毒传播感染的过程逆向过来，使得被感染 的计算机程序恢复原状。（杀软真伟大，我要写病毒我一定把原来的PE文件删得面目全非，看你怎么逆向……邪恶了……） 现在常见的杀毒软件查杀病毒技术主流有两种：特征码查杀和启发式查杀。 所谓特征码查杀技术，就是指杀毒软件将已知的病毒进行分析后，提取出该病毒的一组特征码，什么是特征码，我们知道，任何程序代码都有他自己的特点。就像世 界上永远没有两片相同的叶子，世界上永远没有两个讲课会讲苍井空的小甲鱼一样，特征码病毒文件中一句或者几句特殊的代码。通过特征码，杀毒软件就能认出这 程序是病毒程序。 病毒的特征码主要分为：文件特征码（病毒存放在硬盘上的阶段）和内存特征码（病毒存已经到内存中的阶段）等。 病毒特征码的提取主要还是要辛苦杀毒软件背后默默付出的分析人员的主观分析。他们绝对是园丁式的人物，日日夜夜的对着病毒代码进行跟踪、调试、反汇编，最 终在长达几千字节的病毒文件中提取最典型最独特的十几个字节程度的特征代码……由于不同的杀毒软件有不同的园丁哈，所以同一个病毒程序做了特征码免杀，他 丫丫这个过了杀软免杀，那个确还是被杀，简直没完没了的原因就是：特征码因为是园丁不辞辛苦提取出来的，所以不同杀软对同一病毒总是提取出不同的特征码~ 有些童鞋可能会问了：“一个病毒有那么多特征码呀？”那小甲鱼又会这么回答：“难道你除了生殖器官长得跟别人不一样之外，其他都一样吗？！”同理可证 哈…… 又有童靴会发问了：“要是丫丫的刚好有一个正经的程序也纯在这么一个相同的特征码组合的话怎么办？”小甲鱼笑笑答道：“这就会产生传说中的……误杀！”。 事实上这比中彩票要难点哈，小甲鱼给大家举个例子：就当一段特征码有十个字节，那么每个字节有八位，十个字节有多少种不同组合的排列？赶紧的算，中学概率 题的说……答案是：2^8^10（^代表次方），捏手算下大概结果是1208925819614629174706176种不同的组合，你说中彩票容易还 是误杀容易？？ 所谓启发式查杀技术，说白了就是蜜罐策略。什么是蜜罐策略呢？这个技术可先进了去……一般情况下是通过虚拟机技术通过虚拟一个运行环境的方式来执行需要检 查的文件，只要你的文件发作，呵呵，他不就知道你是病毒咯~那他怎么知道你发作呢？事实上我们说过了，病毒也是一段程序哈。但是呀，病毒终归是病毒，它始 终是要做坏事的，例如感染、而已删除文件、感染正常PE文件、修改注册表、添加自启动等等，他也可能通过调用系统底层函数来免杀杀软，或者进行更深层的 rootkit隐藏……这一切一切因为他都是要调用系统的api 函数来进行操作的，所以这个虚拟环境就能够由此侦测出来咯~ 但是虚拟机技术由于存在误杀可能性比较大，目前仅是作为特征码查杀技术的一种补充而已，用于防范未知病毒。 为啥误杀的可能性比较大？嘿嘿，你想想系统搞那么多api 函数来干啥？不就是来用的嘛~要是用一下这个函数就说是病毒，那跟那把水果刀在家里切黄瓜（小甲鱼又邪恶了）就被警察以杀人罪枪毙有何不同？？ 好了，累死了，打了这么多字，下一篇：揭开常见病毒免杀手法的面纱 喜欢本篇文章的朋友顺手转载宣传下吧~ 谢谢~