返回列表 回復 發帖

如何破壞殺毒軟體

最近有調查報告顯示,知名品牌的殺毒軟體對新型電腦病毒的查殺率只有20%,而漏殺率卻高達80%。那麼是什麼原因造成這種狀況的?到底是如今的病毒過於厲害,還是殺毒軟體的能力有限?今天我們就通過實例來看看是什麼“刺瞎”了殺毒軟體的雙眼。www.sq120.com推薦文章
  駭客姓名:於謙
  駭客特長:免殺程式的製作
  使用工具:MaskPE
  使用工具:超級加花器
  使用工具:Private exe Protector
  駭客自白:由於木馬軟體都存在著“黑”特性,所以每當它們被公佈出來不久,就會被殺毒軟體所查殺。為了避免這種情況的發生,我開始研究如何對駭客程式進行免殺,讓各種各樣的殺毒軟體在它們面前成為“睜眼瞎”。
如何才能起到免殺效果
  現在的殺毒軟體對任何病毒的查殺,都是建立在擁有該病毒的特徵碼的基礎上的。駭客為了讓木馬程式不被殺毒軟體查殺,會通過各種方法對它進行修改或偽裝,也就是進行免殺處理。
  目前常見的免殺方法有加殼、加花(指令)、修改特徵碼、變換入口點、入口點加密等。同時當前主流的殺毒軟體都採用了複合特徵碼,因此很多時候通過一種方法很難達到免殺效果,這時需要幾種方法配合才能起到免殺效果。
實戰程式免殺
一、免殺從程式內部開始
  準備好我們要免殺的駭客程式。首先進行加密處理,運行加密程式MaskPE,它是一款自動修改PE檔的軟體,可以將程式原有的源代碼打亂,這樣就能生成免殺的木馬或病毒。
  點擊“Load File”按鈕選擇免殺程式,在“Select Information”列表中任意選擇一項,最後點擊“Make File”按鈕,在彈出的窗口中對加密的檔進行另存即可。
二、花指令迷惑殺毒軟體
  運行“超級加花器”,這是一款全新的加花程式。首先將服務端程式直接拖動到程式的主介面進行釋放,接著在“花指令”下拉列表中選擇一種花指令,單擊“加花”按鈕後就可以了。這樣,一段花指令就被成功地添加到駭客程式代碼的最前面,那些從檔頭提取特徵碼的殺毒軟體也就無能為力了。
三、加殼阻止殺毒軟體分析
  然後進行加殼處理,這樣可以阻止殺毒軟體將獲取的源代碼和特徵碼進行比對。運行Private exe Protector這款加殼程式,在出現的“應用程式”列表中設置需要免殺的駭客程式。再將下麵“設置”選項中將“動態保護”勾選上,最後點擊工具欄中的“開始保護”按鈕即可馬上進行加殼處理。

四、改入口點防特徵碼對比
  最後進行更改入口點的處理,它的目的和加殼處理相似,就是讓殺毒軟體無法從駭客程式的入口點來獲取源代碼。運行PEditor這款軟體修改程式,點擊“流覽”按鈕選擇駭客程式,找到“入口點”這個資訊選項,接著在原來的數值的基礎上加上1,接著點擊“應用更改”按鈕就可以完成剛才的設置確認。

  當駭客程式進行完免殺處理以後,首先要使用多款殺毒軟體對它進行殺毒檢測,沒有安裝殺毒軟體的用戶也可以通過一個多引擎樣本查毒網站進行檢測。
  如果已經不被殺毒軟體所查殺了,還要在本地測試經過免殺處理後的程式是否能正常的運行。只有進行了這一系列測試以後,才能確定該駭客程式是否免殺成功。
返回列表