木马病毒是怎样和杀毒软件较量的(免杀入门)
大家都知道木马病毒和杀毒软件是一对死对头。木马病毒由于会破坏计算机,所以被杀毒软件列入黑名单。而木马病毒为了保证自己能在目标电脑中潜伏更长的时间,就采用了各种各样的“免杀”手段,经过免杀处理的木马病毒可在一段时间内成功躲过杀毒软件的查杀。
通常杀毒软件查杀病毒的前提是知道病毒的特征码,而免杀处理的常见做法就是对木马病毒本身的特征码进行修改或者伪装。
目前常见的免杀方法有:加壳、加花(指令)、变换入口点、入口点加密、修改特征码等。
1.加壳。原理是阻止杀毒软件获取源代码,从而阻止其进行特征码的比对。一款比较流行的加壳程序为ASPack。
2.加花。当一段花指令被添加的病毒代码的最前面后,那些从文件头提取特征码的杀毒软件就无能为力了。典型的加花程序为“超级加花器”。
3.变换入口点。同加壳原理类似,阻止杀毒软件从已知的入口点来获取源代码。典型软件为PEditor。
4.入口点加密。通过打乱源代码,来加密入口点,从而起到免杀效果。典型程序为MaskPE。
都知道的啊 呵呵。。。
[嵌套回复]