“黑客基地站長長期收徒,主要教灰鴿子、抓雞、DDOS攻擊、木馬制作、網站入侵、網站掛馬、木馬脫殼、免殺、捆綁服務器的制作與維護、網吧安全與入侵等,承接各類黑客業務”。在百度貼吧上,類似的廣告比比皆是,而受利益的驅動,病毒更是可以公開叫賣,從寫程序到傳播,到銷售再到洗錢分賬,由此產生的黑客制造病毒的產業鏈更是令人觸目驚心。
幾年前,黑客還離我們普通大眾十分遙遠,然而隨著互聯網的飛速發展,我國的“黑客”輩出,病毒與反病毒之間的較量更是逐年升級,網絡安全環境遭受了嚴峻的考驗。
近日,由江民科技發布的“2007年黑客行為分析”最新調查數據顯示,2007年黑客行為呈明顯上升趨勢,有近四成以上的黑客正在研究“免殺病毒”技術,研制“免殺病毒”和在互聯網交流“免殺技術”已經成為黑客們最為熱衷、追捧的行為。
“免殺”,顧名思義就是逃避殺毒軟件的查殺,目前用得比較多的免殺方法有加殼、修改特征碼和加花指令三種,通常黑客們會針對不同的情況來運用不同的免殺方法。一位不願意透露姓名的資深黑客,向記者詳細介紹了最為流行的“病毒免殺”技術。
“想要了解病毒免殺技術的原理,首先要了解殺毒軟件的工作方式。殺毒軟件的工作方式一般是特征碼匹配殺毒,通過分析病毒的特征碼來判斷病毒。而病毒只有能夠逃避過殺毒軟件的查殺,才能順利實現其入侵系統、盜取用戶私密信息的目的,‘免殺’病毒則應運而生。”
免殺技術之一:加花指令
加花是病毒免殺常用的手段,加花的原理就是通過添加加花指令(一些垃圾指令,類型加1減1之類的無用語句)讓殺毒軟件檢測不到特征碼,干擾殺毒軟件正常的檢測。加花以後,一些殺毒軟件就檢測不出來了,但是有些比較強的殺毒軟件,像江民殺毒軟件,病毒還是會被殺的。這可以算是“免殺”技術中最初級的階段。
免殺技術之二:加殼
舉例來說,如果說程序是一張烙餅,那殼就是包裝袋,可以讓你發現不了包裝袋裡的東西是什麼。比較常見的殼一般容易被殺毒軟件識別,所以加殼有時候會使用到生僻殼,就是不常用的殼。現在去買口香糖你會發現至少有兩層包裝,所以殼也可以加多重殼,讓殺毒軟件看不懂。如果你看到一個袋子上面寫著干燥劑、有毒之類的字你也許就不會對他感興趣了吧,這就是偽裝殼,把一種殼偽裝成其他殼,干擾殺毒軟件正常的檢測。
免殺技術之三:修改特征碼
病毒加殼雖然可以逃過一些殺毒軟件的查殺,但是卻逃不過殺毒軟件的內存殺毒,因此修改特征碼成為逃避殺毒軟件內存查殺的唯一辦法。舉例來說,如果程序是一張烙餅,那特征碼就像上面的芝麻,每一張餅上面的芝麻位置是不同的,所以每個程序包括病毒特定位置上面的字符也是不同,這粒用來識別是不是病毒的“芝麻”就是特征碼。
要修改特征碼,就要先定位殺毒軟件的病毒庫所定位的特征碼,這個有一定難度,需要有經驗的黑客才能做到。但是現在網絡上有很多現成的工具可以定位出特征碼,黑客們只需簡單的修改就可以完成“免殺病毒”的制作了。
面對不斷翻新的病毒“免殺”技術,傳統殺毒軟件特征碼查殺技術就表現得相對滯後,而如何有效地防殺“免殺病毒”成為擺在殺毒軟件廠商面前的最大問題。
對此問題,江民反病毒專家何公道告訴記者,“免殺病毒”並不可怕,殺毒軟件可以通過智能主動防御系統、虛擬機脫殼殺毒等技術來實現對“免殺病毒”的查殺。江民殺毒軟件KV2008新型的智能主動防御系統可以對未知病毒進行主動監控,對病毒層層攔截,可以讓號稱“免殺”的病毒無處可逃。即使有個別新病毒和惡性病毒入侵了系統,也無法逃避江民殺毒軟件主動防御系統的層層截殺。