“免杀技术”的意思、由来-中文百科全书

基本情况

近日，由江民科技发布的“2007年黑客行为分析”最新调查数据显示，2007年黑客行为呈明显上升趋势，有近四成以上的黑客正在研究“免杀病毒”技术，研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷、追捧的行为。

“想要了解病毒免杀技术的原理，首先要了解杀毒软件的工作方式。杀毒软件的工作方式一般是特征码匹配杀毒，通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀，才能顺利实现其入侵系统、盗取用户私密信息的目的，‘免杀’病毒则应运而生。”

免杀技术之一：加花指令

加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。加花以后，一些杀毒软件就检测不出来了，但是有些比较强的杀毒软件，像江民杀毒软件，病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。

免杀技术之二：加壳

举例来说，如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。现在去买口香糖你会发现至少有两层包装，所以壳也可以加多重壳，让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧，这就是伪装壳，把一种壳伪装成其他壳，干扰杀毒软件正常的检测。

病毒加壳虽然可以逃过一些杀毒软件的查杀，但是却逃不过杀毒软件的内存杀毒，不过可以定位内存特征码，再修改即可过内存查杀。因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。举例来说，如果程序是一张烙饼，那特征码就像上面的芝麻，每一张饼上面的芝麻位置是不同的，所以每个程序包括病毒特定位置上面的字符也是不同，这粒用来识别是不是病毒的“芝麻”就是特征码。要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码，黑客们只需简单的修改就可以完成“免杀病毒”的制作了。不过修改特征码也不是那么的容易的，最好会汇编语言，那样修改特征码会相对的简单。

面对不断翻新的病毒“免杀”技术，传统杀毒软件特征码查杀技术就表现得相对滞后，而如何有效地防杀“免杀病毒”成为摆在杀毒软件厂商面前的最大问题。

几个专业名词

壳:就是程序的保护层,原本用来加密PE程序文件防止破解,现在却被用于制作免杀

花代码(花指令):就是一段毫无意义的代码,也是乱码,它前后构成完全矛盾的意思,但是这样就能阻碍杀毒软件的查杀.

现今国内主要杀毒技术

特征码技术:运用程序中某一段或几段64字节以下的代码作为判别程序病毒的主要依据,几乎所有国内杀毒软件都在用.

复合特征码技术:下面给图，因为本人艺术细胞原因所以点到为止

abcd 所有都在的情况下，木马可以被杀到不管有几个a 或者几个b

虚拟机技术:卡巴运用的技术,它表现在穿壳能力的强大

行为查杀技术:根据某些病毒会在计算机里面的行为作为依据(如在注册表内增加什么键值),满足三个以上就视为木马或病毒.

启发式杀毒技术:运用病毒特有的结构,来检测病毒(如nod32)

国内外部分杀毒软件的特点:

金山杀毒:超级垃圾的杀毒软件,花哨东西多得要死,实际杀毒功能却属于世界数一数二地弱,如果不想中木马,你最好别装.它甚至连木马也杀不清

江民或KV:跟金山差不多,稍微比它好点,但是也比较垃圾,它的技术都是买来经过二次改造,没什么特色.

瑞星:个人认为是国内是国内出的最强地杀毒,经过分析,它有三套毒库

瑞星的内存杀毒我们也搞不清楚内核机制，所以分析的只是现象：

1、普通的木马病毒（不常见的），瑞星不进行内存特征码定义，，

文件免杀了内存就免杀了

2、瑞星的右键快捷查杀和运行主程序查杀，效果不一样，右键不杀不代

表运行主程序不杀，有些内存杀的木马病毒，修改了运行主程序查杀的特

征码，内存就免杀了。网络泛滥的木马病毒（如鸽子，密码神通，广外幽灵等），瑞星进行内存特征码定义，通常是多区段特征码定义，其中有些用免杀壳加密加花后，OD载入不杀，但运行后被杀

这样看来感觉瑞星象是3套特征码定义，1是右键查杀，2是主程序运行查杀，

3是内存查杀，我是这样分类的

针对上述现象，瑞星内存免杀我们通常这样做，OD分段定位，先NOP入口点区段，仍被杀则NOP其他区段，直到不杀，找出内存特征码进行修改

说明：A B C代表的是病毒特征码，括号()表示可能不存在

关于OD加载入内存不杀,运行后被内存查杀的问题:

OD加载的和真正的运行有区别，一些加壳的东西加了木马OD载入不杀内存，真正运行了就被杀，说明真正运行了内存中会还原某些代码，所以遇到加壳OD不杀，运行被杀的情况，平时我们遇到的木马，未加密加壳前在OD中是可以被杀和定位内存特征码的至于一种情况，如果木马未做任何处理的时候，就是一个原始木马，拿来OD载入不杀内存，运行了就杀，这种情况我没遇到过，如果你遇到了无壳的出现这种情况,基本上就是被一个内存免杀技术不过关的人修改过的,碰巧被你用了

如果你在免杀过程中遇到了OD载入不杀,运行内存被杀的情况,请尝试修改

特征码,而不是给它加花或加密,正确修改了内存特征码是可以完全内存免杀的

以上就是黑客小熊所分析的瑞星,瑞星不是用来实时监控,是用来手动查杀内存用的.

诺顿:它查杀的是PE文件头,就是那一串代码,有一个加壳程序可以把它打乱,高技术的甚至可以把它整个移走以免杀.

卡巴斯基:国内外数一数二的杀毒软件,曾获世界第一的称号.它的优点就是穿壳能力墙(虚拟机技术),弱点是一见花指令就怕.免杀它一般是加花指令.

NOD32:启发式杀毒技术,不再是单纯的特征码技术,就是运用一些木马程序特有的结构来判别是否木马,但是缺点是解密能力差,免杀它通常加一个壳再加一个花.

Ewido:一款非常不错的杀木马软件,它的内存查杀和瑞星一样变态,而且穿花能力强,比起国内木马克星来说它不知道好多少倍.而且他加入了注册表查杀,免杀它要先过内存再加强壳

运用软件进行端口及进程防御

冰刃:用于查看隐藏端口,进程,服务等,是一个非常好的安全工具.

端口关联查看器:看端口工具.

木马辅助查找器:灰鸽子工作室出品,用于监视文件.

Regmon注册表监视器:用来监视注册表.

Filemon文件监视器，用来查看文件调用的所有DLL

词条	免杀技术
释义	“免杀”，顾名思义就是逃避杀毒软件的查杀，目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种，通常黑客们会针对不同的情况来运用不同的免杀方法基本情况免杀技术之一：加花指令免杀技术之二：加壳免杀技术之三：修改特征码几个专业名词现今国内主要杀毒技术基本情况近日，由江民科技发布的“2007年黑客行为分析”最新调查数据显示，2007年黑客行为呈明显上升趋势，有近四成以上的黑客正在研究“免杀病毒”技术，研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷、追捧的行为。 “想要了解病毒免杀技术的原理，首先要了解杀毒软件的工作方式。杀毒软件的工作方式一般是特征码匹配杀毒，通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀，才能顺利实现其入侵系统、盗取用户私密信息的目的，‘免杀’病毒则应运而生。” 免杀技术之一：加花指令加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。加花以后，一些杀毒软件就检测不出来了，但是有些比较强的杀毒软件，像江民杀毒软件，病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。免杀技术之二：加壳举例来说，如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。现在去买口香糖你会发现至少有两层包装，所以壳也可以加多重壳，让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧，这就是伪装壳，把一种壳伪装成其他壳，干扰杀毒软件正常的检测。免杀技术之三：修改特征码病毒加壳虽然可以逃过一些杀毒软件的查杀，但是却逃不过杀毒软件的内存杀毒，不过可以定位内存特征码，再修改即可过内存查杀。因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。举例来说，如果程序是一张烙饼，那特征码就像上面的芝麻，每一张饼上面的芝麻位置是不同的，所以每个程序包括病毒特定位置上面的字符也是不同，这粒用来识别是不是病毒的“芝麻”就是特征码。要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码，黑客们只需简单的修改就可以完成“免杀病毒”的制作了。不过修改特征码也不是那么的容易的，最好会汇编语言，那样修改特征码会相对的简单。面对不断翻新的病毒“免杀”技术，传统杀毒软件特征码查杀技术就表现得相对滞后，而如何有效地防杀“免杀病毒”成为摆在杀毒软件厂商面前的最大问题。几个专业名词壳:就是程序的保护层,原本用来加密PE程序文件防止破解,现在却被用于制作免杀花代码(花指令):就是一段毫无意义的代码,也是乱码,它前后构成完全矛盾的意思,但是这样就能阻碍杀毒软件的查杀. 现今国内主要杀毒技术特征码技术:运用程序中某一段或几段64字节以下的代码作为判别程序病毒的主要依据,几乎所有国内杀毒软件都在用. 复合特征码技术:下面给图，因为本人艺术细胞原因所以点到为止 abcd 所有都在的情况下，木马可以被杀到不管有几个a 或者几个b 虚拟机技术:卡巴运用的技术,它表现在穿壳能力的强大行为查杀技术:根据某些病毒会在计算机里面的行为作为依据(如在注册表内增加什么键值),满足三个以上就视为木马或病毒. 启发式杀毒技术:运用病毒特有的结构,来检测病毒(如nod32) 国内外部分杀毒软件的特点: 金山杀毒:超级垃圾的杀毒软件,花哨东西多得要死,实际杀毒功能却属于世界数一数二地弱,如果不想中木马,你最好别装.它甚至连木马也杀不清江民或KV:跟金山差不多,稍微比它好点,但是也比较垃圾,它的技术都是买来经过二次改造,没什么特色. 瑞星:个人认为是国内是国内出的最强地杀毒,经过分析,它有三套毒库瑞星的内存杀毒我们也搞不清楚内核机制，所以分析的只是现象： 1、普通的木马病毒（不常见的），瑞星不进行内存特征码定义，，文件免杀了内存就免杀了 2、瑞星的右键快捷查杀和运行主程序查杀，效果不一样，右键不杀不代表运行主程序不杀，有些内存杀的木马病毒，修改了运行主程序查杀的特征码，内存就免杀了。网络泛滥的木马病毒（如鸽子，密码神通，广外幽灵等），瑞星进行内存特征码定义，通常是多区段特征码定义，其中有些用免杀壳加密加花后，OD载入不杀，但运行后被杀这样看来感觉瑞星象是3套特征码定义，1是右键查杀，2是主程序运行查杀， 3是内存查杀，我是这样分类的针对上述现象，瑞星内存免杀我们通常这样做，OD分段定位，先NOP入口点区段，仍被杀则NOP其他区段，直到不杀，找出内存特征码进行修改说明：A B C代表的是病毒特征码，括号()表示可能不存在关于OD加载入内存不杀,运行后被内存查杀的问题: OD加载的和真正的运行有区别，一些加壳的东西加了木马OD载入不杀内存，真正运行了就被杀，说明真正运行了内存中会还原某些代码，所以遇到加壳OD不杀，运行被杀的情况，平时我们遇到的木马，未加密加壳前在OD中是可以被杀和定位内存特征码的至于一种情况，如果木马未做任何处理的时候，就是一个原始木马，拿来OD载入不杀内存，运行了就杀，这种情况我没遇到过，如果你遇到了无壳的出现这种情况,基本上就是被一个内存免杀技术不过关的人修改过的,碰巧被你用了如果你在免杀过程中遇到了OD载入不杀,运行内存被杀的情况,请尝试修改特征码,而不是给它加花或加密,正确修改了内存特征码是可以完全内存免杀的以上就是黑客小熊所分析的瑞星,瑞星不是用来实时监控,是用来手动查杀内存用的. 诺顿:它查杀的是PE文件头,就是那一串代码,有一个加壳程序可以把它打乱,高技术的甚至可以把它整个移走以免杀. 卡巴斯基:国内外数一数二的杀毒软件,曾获世界第一的称号.它的优点就是穿壳能力墙(虚拟机技术),弱点是一见花指令就怕.免杀它一般是加花指令. NOD32:启发式杀毒技术,不再是单纯的特征码技术,就是运用一些木马程序特有的结构来判别是否木马,但是缺点是解密能力差,免杀它通常加一个壳再加一个花. Ewido:一款非常不错的杀木马软件,它的内存查杀和瑞星一样变态,而且穿花能力强,比起国内木马克星来说它不知道好多少倍.而且他加入了注册表查杀,免杀它要先过内存再加强壳运用软件进行端口及进程防御冰刃:用于查看隐藏端口,进程,服务等,是一个非常好的安全工具. 端口关联查看器:看端口工具. 木马辅助查找器:灰鸽子工作室出品,用于监视文件. Regmon注册表监视器:用来监视注册表. Filemon文件监视器，用来查看文件调用的所有DLL
随便看	海龟国家级自然保护区海龟号潜艇海龟回家路安卓版海龟胶海龟交易法则（珍藏版）海龟交易特训班海龟交易心法海龟历险海龟男海龟漂流记2 海龟汤海龟艇海龟芝士蛋糕海龟祖玛修改版海桂洪海国灿海国集团海国屏藩题刻海国闻见录海国学志:留美华人科学家海果纲海航YOHO湾海航安庆天柱山机场海航大酒店海航大厦

基本情况

免杀技术之一：加花指令

免杀技术之二：加壳

免杀技术之三：修改特征码

几个专业名词

现今国内主要杀毒技术