最近有调查报告显示,知名品牌的杀毒软件对新型计算机病毒的查杀率只有20%,而漏杀率却高达80%。那么是什么原因造成这种状况的?到底是如今的病毒过于厉害,还是杀毒软件的能力有限?今天我们就通过实例来看看是什么刺瞎了杀毒软件的双眼。
0 k, Z4 m0 R+ f0 @& s
7 U4 s2 }$ K' t+ p& r
黑客姓名:于谦
5 A0 h- g; e. q$ O; ^( v: K9 ~; t, q6 L
. z& G! q8 @ a* U. d! a黑客特长:免杀程序的制作
{% X6 M" h7 H# r9 S* W2 z [5 e, f0 @) A0 }
使用工具:MaskPE
' P0 n9 x9 u5 e6 O0 Y$ Y
" |3 ]3 U! T1 V& B A2 r3 ?) z }9 o
使用工具:超级加花器
# Z+ l2 F" @! x& V7 p9 ^+ Z* d/ N
使用工具:Private exe Protector
' Z; f3 S) n2 Y( ^- R9 ]
3 S( d: q2 U6 B9 o/ x( ^! J黑客自白: ) J; H Z5 K) i6 M
# J# Z0 H! a& E& X7 u+ M O# i
由于木马软件都存在着黑特性,所以每当它们被公布出来不久,就会被杀毒软件所查杀。为了避免这种情况的发生,我开始研究如何对黑客程序进行免杀,让各种各样的杀毒软件在它们面前成为睁眼瞎。
" m# [) V: O+ o2 _! K1 L d: l- n8 t/ s+ o& z/ ]* V) [) U/ X# e' [
如何才能起到免杀效果
8 A; v7 Z J( P! V- p" B
% l$ u2 Z. `0 ]现在的杀毒软件对任何病毒的查杀,都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理。
# Q3 i- S# J& J1 y* H1 ]% M( g
0 ?$ U8 n, b: Y7 T9 e1 j目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码,因此很多时候通过一种方法很难达到免杀效果,这时需要几种方法配合才能起到免杀效果。
7 w" Y7 i2 m- O5 W: B0 \3 y( x+ m
实战程序免杀
, n" I0 I: @# |; {' `6 X; \% M. f1 l& J
一、免杀从程序内部开始
0 A1 Z" Z* `; I# A; j' Q+ P8 ?8 m' Y; q+ @" }
准备好我们要免杀的黑客程序。首先进行加密处理,运行加密程序MaskPE,它是一款自动修改PE文件的软件,可以将程序原有的源代码打乱,这样就能生成免杀的木马或病毒。
- O# T" H6 n9 R( J
/ P% N Z ^% ^' _9 E3 v点击Load File按钮选择免杀程序,在Select Information列表中任意选择一项,最后点击Make File按钮,在弹出的窗口中对加密的文件进行另存即可(图1)。
7 r) _& o6 K3 J7 S2 \
. j* G# i, s( H" j u3 _
" b+ k! R: W+ D o& b5 I! s
. }* S# k- _2 N( l8 T' [. q/ Q, F2 `$ t; R
; z) d! L* w! ~- Y/ e0 D
二、花指令迷惑杀毒软件
/ q" l+ t; l3 [" n
5 J( l9 C- a7 N运行超级加花器,这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放,接着在花指令下拉列表中选择一种花指令,单击加花按钮后就可以了(图2)。这样,一段花指令就被成功地添加到黑客程序代码的最前面,那些从文件头提取特征码的杀毒软件也就无能为力了。
( m) `4 Z6 B. y, h& u/ f# K$ I5 w* G M0 ?( }% K) [) n, |
2 f# o, `% ~6 h4 `& ]0 I8 F: x% U
6 }4 ?3 f- Q$ }- [$ Q# w
9 j M2 F$ L; p6 `9 c1 G
' f+ T6 R" ^. _6 X3 V9 O: Q三、加壳阻止杀毒软件分析
$ J* r7 j9 z" p) w' S+ Y$ b
8 [+ Y. a$ C/ ^$ N8 ]6 T, M* C然后进行加壳处理,这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行Private exe Protector这款加壳程序,在出现的应用程序列表中设置需要免杀的黑客程序。再将下面设置选项中将动态保护勾选上,最后点击工具栏中的开始保护按钮即可马上进行加壳处理(图3)。
5 E# ~; V6 h/ |9 Q: p4 S
2 k9 B8 X/ U9 s: h) t) q' N# ^* e0 r& U: Z: O+ P' ~
: Q5 C4 _& j0 S# b/ S6 j
; h( e& ~3 k, m( X$ ^/ s+ g! @. Y; v7 Q5 h% N- q9 f
四、改入口点防特征码对比 5 o2 N# U# W, E& N! Q$ t L
+ l ]8 m& g: h' v" d$ {, j; Z最后进行更改入口点的处理,它的目的和加壳处理相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序,点击浏览按钮选择黑客程序,找到入口点这个信息选项,接着在原来的数值的基础上加上1,接着点击应用更改按钮就可以完成刚才的设置确认(图4)。
/ j9 w( _6 b9 D n: ]
3 `4 R/ [6 B. q" A
( K* d P7 Z, P& }6 U
, v1 p+ C1 ]; n( J
l5 ~/ R$ A1 i5 Q1 n8 V* N5 P1 {- B8 z5 t, A o9 ^
当黑客程序进行完免杀处理以后,首先要使用多款杀毒软件对它进行杀毒检测,没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站(www.virustotal.com)进行检测。
" I- r% i- M+ a$ }* }% ~' ]; L/ Q% {3 z
如果已经不被杀毒软件所查杀了,还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后,才能确定该黑客程序是否免杀成功。
