样毒软件的运行

随着黑客圈子逐渐向商业化靠拢，以及杀毒厂商间的互相竞争愈演愈烈，导致新出现的免费且好用的木马越来越少，除此之外，木马的生存期也在逐渐缩短！而另一方面，新出现的攻击手法越来越少，使得学习黑客技术的我们不得不考虑怎样摆脱或改善现有环境。

因此，免杀技术逐渐火热起来，而作为一个黑客技术初学者，掌握免杀技术更是迫在眉睫！

这篇文章就带领你由杀毒软件原理开始，逐步砸实基础，从而晋升为免杀高手，为以后的黑客生涯铺平道路。

对于免杀，也许大家或多或少都有些了解，但是大家对杀毒软件又有多少了解呢？也许正因为是你对杀毒软件了解不足，所以才造成一些看似比较奇怪的问题，例如无法精确的定位出特征码，或者每次定位的特征码都不一样等等。

如果我们对杀毒软件若能有一个大体的了解，就会使一些问题迎刃而解，从而做到更加有效率的进行免杀。



一、杀毒软件原理基础

一个杀毒软件的构造的复杂程度要远远高于木马或病毒，所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展，杀毒软件的编译技术也在不断向系统底层靠近。例如现在的“主动防御”技术，就是应用RING0层的编译技巧。这里我简单为大家介绍一下基本构成。

一个杀毒软件一般由扫描器、病毒库与虚拟机组成，并由主程序将他们结为一体，如图1。





扫描器是杀毒软件的核心，用于发现病毒，一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进，而且杀毒软件不同的功能往往对应着不同的扫描器，也就是说，大多数杀毒软件都是由多个扫描器组成的。而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符，我们称之为“特征码”。特征码总的分来只有两个，文件特征码与内存特征码。文件特征码存在于一些未执行的文件里，例如EXE文件、RMVB文件、jpg文件甚至是txt文件中都有可能存在文件特征码，也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念，它可以使病毒在一个由杀毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等完全隔离，从而可以更加深入的检测文件的安全性。

简单的说，杀毒软件的原理就是匹配特征码。当扫描得到一个文件时，杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码，如果有，则报毒病查杀，如果没有，纵然这个文件确实是一个病毒，它也会把它当作正常文件来看待。



二、基于文件扫描的杀毒技术

基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法，对于免杀爱好者来说，要对每一种方法烂熟于心，才能成为高手！但做为一个初学者来说了解一下即可。这里我们就简单介绍一下其中两种种方法，详细的技术原理如果各位得这有兴趣的话可以自己研究。

1、通配符扫描技术

　　通配符扫描技术属于是第一代扫描技术的一个分支，对于“通配符”，可以理解为具有一定意义的符号，例如DOS命令里的*号就是任意长度的任意字符的意思，而且通配符在不同的领域也里可以代表不同的意思。

现在杀毒软件中简单的扫描器常常支持通配符，因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题，使得其逐渐退出历史舞台，取而代之的是通配符扫描技术，通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。

扫描器中的通配符一般用于跳过某些字节或字节范围，以至于现在有些扫描器还支持正则表达式！

下面我们通过一个例子来讲解通配符扫描技术的原理。

例如我们的病毒库中有这样一段特征码：

0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C

上面的特征码可以解释为：

１、尝试匹配04，如果找到则继续，否则跳出。

２、尝试上一匹配目标后匹配00，如果找到则继续，否则跳出。

３、尝试上一匹配目标后匹配B8，如果找到则继续，否则跳出。

４、尝试上一匹配目标后匹配01，如果找到则继续，否则跳出。

５、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。

６、尝试上一匹配目标后匹配0E，如果找到则继续，否则跳出。

７、尝试上一匹配目标后匹配07，如果找到则继续，否则跳出。

８、尝试上一匹配目标后匹配BB，如果找到则继续，否则跳出。

９、忽略此字节。

10、尝试上一匹配目标后匹配02，如果找到则继续，否则跳出。

11、在接下来的３个位置（字节）中尝试匹配33，如果找到则继续，否则跳出。

12、尝试上一匹配目标后匹配C9，如果找到则继续，否则跳出。

13、尝试上一匹配目标后匹配8B，如果找到则继续，否则跳出。

14、尝试上一匹配目标后匹配D1，如果找到则继续，否则跳出。

15、尝试上一匹配目标后匹配41，如果找到则继续，否则跳出。

16、尝试上一匹配目标后匹配9C，如果找到则继续，否则跳出。

这种扫描技术通常支持半字节匹配，这样可以更精确地匹配特征码，一些早期的加密病毒用这种方法都比较容易检测出来。

其实现在的一些特征码仍然在使用类似此种方法的特征码表达技术，因此掌握这些知识会对我们以后的免杀有所帮助，同样可以使我们在定位特征码时更加了解自己正在做什么，以及做的是否正确等等，这对于我们来说非常重要。

2、智能扫描

智能扫描属于第二代扫描技术的一个分支，这种方法是在一种病毒变异工具包出现之后提出的。智能扫描法会忽略检测文件中象NOP这样的无意义指令。而对于文本格式的脚本病毒或宏病毒，则可以替换掉多余的例如空格、换行符或制表符等空白字符，这一切替换动作在扫描缓冲区就会执行，从而大大提高了扫描器的检测能力。

3、近似精确识别法

近似精确识别法同样是属于第二代扫描技术的一个分支，但是相比起来应用的更为广泛，这种扫描技术包含了两种方式与若干种方法，在这里不可能一一介绍，下面将主要介绍两种方法的代表。

方法一：多套特征码

该方法采用两个或更多个字符串集来检测每个病毒，如果扫描器检测到其中一个特征符合，那么就会警告发现变种，但并不会执行下一步操作（例如清除病毒体或删除文件）。如果多个特征码全部符合，则报警发现病毒，并执行下一步操作。

方法二：效验和

    对于校验和，也许有些朋友会想到文件校验和比对的方法，这个方法的思路是将每一个无毒的文件生成一个校验和，等待下次扫描时在进行简单的校验和比对即可，如果校验和有所变化，在进行进一步的扫描，这样有利于提升扫描器的效率，但是严格地说，这并不算是扫描技术。

效验和扫描技术利用的最为到位的就是比较出名的KAV（卡巴斯基）了，它的第二代扫描器就采用了密码效验和技术，并且没有使用任何搜索字符串技术。关于效验和是一个复杂的概念，简单的说就是通过对病毒中的某一段代码的计算，从而得出一个值（例如123XY4），与MD5加密有些相似，当然这样说不完全正确。

但KAV采用的是一种由卡巴斯基发明的一种叫做密码效验和的特殊算法，这种算法通常会产生两个值。而且病毒库的查询采用了特征码分类思想，例如扫描EXE文件时只调用与EXE文件有关的病毒库，而根据EXE文件的位置不同（例如文件头、入口点）又分为不同的子库，这样有利于提高扫描速度。



三、由此得出的一些经验

首先我们应该明白第一个例子介绍的通配符“0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C”代表的肯定不是一个字节。也就是说，杀毒软件厂商定位的特征一般都是数十字节，所以我们定位特征码时就要避免定位过于精确，一般保证在10字节以内就足够了！因为如果特征码定位的过于精确，会为我们以后的修改操作带来很大不必要的麻烦。我们可以简单的想一下，是修改一个字节的方法多，还是修改10字节的方法多？

而由智能扫描我们也可以得出一个结论，就是不要将杀毒软件想的太傻，例如属于智能扫描的一个分支——启发式扫描，它会将一些异常改动计算到可能性的“权值”里，如果一个文件的可疑改动过多，就会导致报毒，这样我们所做的一些工作就起到了相反的作用，是典型的画蛇添足。所以，修改木马文件时也要掌握一个度的问题，不要修改的过多，但还要保证自己的木马免杀时间够长，这就要明白那些更改会被归为可疑修改，而那些则不会。但是掌握这些是需要一定的PE文件结构基础知识的，对于PE文件，我会在下篇文章详细介绍。

而最后的就是卡巴斯基的密码校验和扫描技术了，恐怕这在业内也是第一次提出来，各位看官有福了！

对于密码校验和的更深层次的知识，这里我们不再细谈，我们只谈他对免杀带来什么样的影响。首先，特殊的扫描方法必然会导致特殊的特征码，所以密码校验和的真正特征码通常体积都比较大，通过脚本木马的一些实验，卡巴斯基7.0对字母的大小写不是很敏感，此外对文件代码的变动也不是很敏感。也就是说，只要包含特征码的这行代码在卡巴斯基的校验和取样范围之内，那么它就会报毒，而如果你将其移出这个范围，那么肯定会导致文件不能正常运行，唯一的办法就是更改代码结构。

如果大家注意总结与思考，会发现一些免杀方面的模糊概念完全可以用本文介绍的知识解释通，例如什么“隐含特征码”等等。

这篇文章不知道大家看着怎么样，我想无论你是刚要入门的新手，还是有一些经验的老手，本文都会提供给你许多你不曾知道的知识。由此也可以看出基础的重要性，正是因为基础的不同，才造成技术的高低。我想授人予鱼不如授人予渔，所以这篇文章偏重于理论，没有什么实例，但是相信会给你带来一些帮助。如果你想成为免杀高手，那么就期待下一篇吧……