最近有調(diào)查報(bào)告顯示， 知名品牌的殺毒軟件對(duì)新型計(jì)算機(jī)病毒的查殺率只有20%， 而漏殺率卻高達(dá)80%。 那么是什么原因造成這種狀況的？到底是如今的病毒過(guò)于厲害， 還是殺毒軟件的能力有限？今天我們就通過(guò)實(shí)例來(lái)看看是什么“刺瞎”了殺毒軟件的雙眼。

　　黑客姓名：于謙

　　黑客特長(zhǎng)：免殺程序的制作

　　使用工具：MaskPE

　　使用工具：超級(jí)加花器

　　使用工具：Private exe Protector

　　黑客自白：由于木馬軟件都存在著“黑”特性， 所以每當(dāng)它們被公布出來(lái)不久， 就會(huì)被殺毒軟件所查殺。 為了避免這種情況的發(fā)生， 我開(kāi)始研究如何對(duì)黑客程序進(jìn)行免殺， 讓各種各樣的殺毒軟件在它們面前成為“睜眼瞎”。 如何才能起到免殺效果

　　現(xiàn)在的殺毒軟件對(duì)任何病毒的查殺， 都是建立在擁有該病毒的特征碼的基礎(chǔ)上的。 黑客為了讓木馬程序不被殺毒軟件查殺， 會(huì)通過(guò)各種方法對(duì)它進(jìn)行修改或偽裝， 也就是進(jìn)行免殺處理。

　　目前常見(jiàn)的免殺方法有加殼、加花(指令)、修改特征碼、變換入口點(diǎn)、入口點(diǎn)加密等。 同時(shí)當(dāng)前主流的殺毒軟件都采用了復(fù)合特征碼， 因此很多時(shí)候通過(guò)一種方法很難達(dá)到免殺效果， 這時(shí)需要幾種方法配合才能起到免殺效果。 實(shí)戰(zhàn)程序免殺一、免殺從程序內(nèi)部開(kāi)始

　　準(zhǔn)備好我們要免殺的黑客程序。 首先進(jìn)行加密處理， 運(yùn)行加密程序MaskPE， 它是一款自動(dòng)修改PE文件的軟件， 可以將程序原有的源代碼打亂， 這樣就能生成免殺的木馬或病毒。

　　點(diǎn)擊“Load File”按鈕選擇免殺程序， 在“Select Information”列表中任意選擇一項(xiàng)， 最后點(diǎn)擊“Make File”按鈕， 在彈出的窗口中對(duì)加密的文件進(jìn)行另存即可。 二、花指令迷惑殺毒軟件

　　運(yùn)行“超級(jí)加花器”， 這是一款全新的加花程序。 首先將服務(wù)端程序直接拖動(dòng)到程序的主界面進(jìn)行釋放， 接著在“花指令”下拉列表中選擇一種花指令， 單擊“加花”按鈕后就可以了。 這樣， 一段花指令就被成功地添加到黑客程序代碼的最前面， 那些從文件頭提取特征碼的殺毒軟件也就無(wú)能為力了。 三、加殼阻止殺毒軟件分析

　　然后進(jìn)行加殼處理， 這樣可以阻止殺毒軟件將獲取的源代碼和特征碼進(jìn)行比對(duì)。 運(yùn)行Private exe Protector這款加殼程序， 在出現(xiàn)的“應(yīng)用程序”列表中設(shè)置需要免殺的黑客程序。 再將下面“設(shè)置”選項(xiàng)中將“動(dòng)態(tài)保護(hù)”勾選上， 最后點(diǎn)擊工具欄中的“開(kāi)始保護(hù)”按鈕即可馬上進(jìn)行加殼處理。

　　四、改入口點(diǎn)防特征碼對(duì)比

　　最后進(jìn)行更改入口點(diǎn)的處理， 它的目的和加殼處理相似， 就是讓殺毒軟件無(wú)法從黑客程序的入口點(diǎn)來(lái)獲取源代碼。 運(yùn)行PEditor這款軟件修改程序， 點(diǎn)擊“瀏覽”按鈕選擇黑客程序， 找到“入口點(diǎn)”這個(gè)信息選項(xiàng)， 接著在原來(lái)的數(shù)值的基礎(chǔ)上加上1， 接著點(diǎn)擊“應(yīng)用更改”按鈕就可以完成剛才的設(shè)置確認(rèn)。

　　當(dāng)黑客程序進(jìn)行完免殺處理以后， 首先要使用多款殺毒軟件對(duì)它進(jìn)行殺毒檢測(cè)， 沒(méi)有安裝殺毒軟件的用戶也可以通過(guò)一個(gè)多引擎樣本查毒網(wǎng)站進(jìn)行檢測(cè)。

　　如果已經(jīng)不被殺毒軟件所查殺了， 還要在本地測(cè)試經(jīng)過(guò)免殺處理后的程序是否能正常的運(yùn)行。 只有進(jìn)行了這一系列測(cè)試以后， 才能確定該黑客程序是否免殺成功。