加壳
随着游戏产业,网上购物,证券交易等网上交易活动的越来越广泛,越来越多的病毒作者加入到了木马的制作行列中,企图通过盗取游戏帐号,银行帐号,网银密码等信息获得实际收入。由于利益的驱使,各种灰色职业也在网络上应运而生,比如售卖木马程序,抓肉鸡,售卖各种黑客技术入门教程等五花八门。木马的病毒也由高深的黑客技术,普及到只会基本的电脑操作知识即可定制自己的木马。从某安全软件公司公布的数据来看,去年一年捕获的病毒,木马数量超过了30万。比如去年到今天相继爆发的威金,熊猫烧香,灰鸽子,机器狗,磁碟机等木马,每一次大的病毒爆发,都会有数十万至百万电脑受到感染。
网络上爆发的病毒数量虽然巨大,但是其中绝大部分是由原本单一的病毒或木马经过病毒制造者的各种加壳、加花、组装等手段后成为“变种”再次出现的。而且变种的传播性、破坏性都更加强大。下面就来针对各种技术做一下简单介绍。
加壳,是通过一系列数学运算,将可执行程序文件或DLL文件的代码进行改变、压缩、加密驱动等,达到缩小文件体积或加密程序代码的目的。(常见加壳工具有北斗、aspcak、 upx)。
加花,就是对程序进行汇编指令的改动或添加,让汇编语句进行一些跳转。通过这两种方式,让杀软不能正常的判断病毒文件的构造、执行方式,祈求能够躲避查杀。
更改特征码,通过一些黑客工具,可以定位到杀毒软件对某个病毒查杀的依据-----特征码。从而对被定位的程序段进行改编,达到躲避查杀的目的。
传统的杀毒软件在面对这些经过改编的木马时,它们需要再次抓取这些样本,然后再提取特征码,加入到病毒库,用户在更新病毒库之后即可查杀了。目前的问题在于木马爆发的数量巨大,采用传统的这种方式一是没有能力一一进行分析,二是必须等到有用户感染了病毒,厂商获取了样本才可以查杀,周期比较长。三是软件的病毒库数量越来越庞大,对系统资源的占用也越来越大。那么有什么好的方法可以避免以上问题呢?
网友评论