黑客炫耀“免殺”技術 已有破解方法

　　“黑客基地站長長期收徒，主要教灰鴿子、抓雞、DDOS攻擊、木馬制作、網站入侵、網站掛馬、木馬脫殼、免殺、捆綁服務器的制作與維護、網吧安全與入侵等，承接各類黑客業務”。在百度貼吧上，類似的廣告比比皆是，而受利益的驅動，病毒更是可以公開叫賣，從寫程序到傳播，到銷售再到洗錢分賬，由此產生的黑客制造病毒的產業鏈更是令人觸目驚心。

　　幾年前，黑客還離我們普通大眾十分遙遠，然而隨著互聯網的飛速發展，我國的“黑客”輩出，病毒與反病毒之間的較量更是逐年升級，網絡安全環境遭受了嚴峻的考驗。

　　近日，由江民科技發布的“2007年黑客行為分析”最新調查數據顯示，2007年黑客行為呈明顯上升趨勢，有近四成以上的黑客正在研究“免殺病毒”技術，研制“免殺病毒”和在互聯網交流“免殺技術”已經成為黑客們最為熱衷、追捧的行為。

　　“免殺”，顧名思義就是逃避殺毒軟件的查殺，目前用得比較多的免殺方法有加殼、修改特征碼和加花指令三種，通常黑客們會針對不同的情況來運用不同的免殺方法。一位不願意透露姓名的資深黑客，向記者詳細介紹了最為流行的“病毒免殺”技術。

　　“想要了解病毒免殺技術的原理，首先要了解殺毒軟件的工作方式。殺毒軟件的工作方式一般是特征碼匹配殺毒，通過分析病毒的特征碼來判斷病毒。而病毒只有能夠逃避過殺毒軟件的查殺，才能順利實現其入侵系統、盜取用戶私密信息的目的，‘免殺’病毒則應運而生。”

　　免殺技術之一：加花指令

　　加花是病毒免殺常用的手段，加花的原理就是通過添加加花指令(一些垃圾指令，類型加1減1之類的無用語句)讓殺毒軟件檢測不到特征碼，干擾殺毒軟件正常的檢測。加花以後，一些殺毒軟件就檢測不出來了，但是有些比較強的殺毒軟件，像江民殺毒軟件，病毒還是會被殺的。這可以算是“免殺”技術中最初級的階段。

　　免殺技術之二：加殼

　　舉例來說，如果說程序是一張烙餅，那殼就是包裝袋，可以讓你發現不了包裝袋裡的東西是什麼。比較常見的殼一般容易被殺毒軟件識別，所以加殼有時候會使用到生僻殼，就是不常用的殼。現在去買口香糖你會發現至少有兩層包裝，所以殼也可以加多重殼，讓殺毒軟件看不懂。如果你看到一個袋子上面寫著干燥劑、有毒之類的字你也許就不會對他感興趣了吧，這就是偽裝殼，把一種殼偽裝成其他殼，干擾殺毒軟件正常的檢測。

　　免殺技術之三：修改特征碼

　　病毒加殼雖然可以逃過一些殺毒軟件的查殺，但是卻逃不過殺毒軟件的內存殺毒，因此修改特征碼成為逃避殺毒軟件內存查殺的唯一辦法。舉例來說，如果程序是一張烙餅，那特征碼就像上面的芝麻，每一張餅上面的芝麻位置是不同的，所以每個程序包括病毒特定位置上面的字符也是不同，這粒用來識別是不是病毒的“芝麻”就是特征碼。

　　要修改特征碼，就要先定位殺毒軟件的病毒庫所定位的特征碼，這個有一定難度，需要有經驗的黑客才能做到。但是現在網絡上有很多現成的工具可以定位出特征碼，黑客們只需簡單的修改就可以完成“免殺病毒”的制作了。

　　面對不斷翻新的病毒“免殺”技術，傳統殺毒軟件特征碼查殺技術就表現得相對滯後，而如何有效地防殺“免殺病毒”成為擺在殺毒軟件廠商面前的最大問題。

　　對此問題，江民反病毒專家何公道告訴記者，“免殺病毒”並不可怕，殺毒軟件可以通過智能主動防御系統、虛擬機脫殼殺毒等技術來實現對“免殺病毒”的查殺。江民殺毒軟件KV2008新型的智能主動防御系統可以對未知病毒進行主動監控，對病毒層層攔截，可以讓號稱“免殺”的病毒無處可逃。即使有個別新病毒和惡性病毒入侵了系統，也無法逃避江民殺毒軟件主動防御系統的層層截殺。