Rss & SiteMap
爱心论坛 http://www.zqax.net/bbs/
我首先生成一个灰鸽子客户端程序,运行它。然后我又分别用卡巴斯基6.0(最新的病毒库)与灰鸽子专杀工具对它进行扫描,其结果见图1、图2:
(说明:上图都能扫描到灰鸽子木马,说明专杀工具和杀毒软件都能够查杀未修改特征码的病毒)
以上表明专杀工具和杀毒软件都能够查杀灰鸽子,但是如果我们改一些灰鸽子的病毒特征码,卡巴斯基和专杀工具都能够查杀出来吗?下面我就修改一下灰鸽子的特征码和对灰鸽子进行加壳来做一下试验。这些是我定位出的灰鸽子特征码:
物理地址/物理长度
[特征]000BA410_00000013
[特征]000BA4EC_00000002
================================================================
提示:1.特征码是病毒特有的程序代码,杀毒软件就是凭借病毒的特征码
来检测病毒的。而各个杀毒软件厂商对病毒特征码的定位又不同,所以
以上我所定位出的特征码只仅供参考。
2.加壳是对病毒进行压缩的一种方式。而这种压缩方式却不同于我
们平时用WINRAR对文件进行压缩,对病毒进行加壳可以减小病毒的文件大
小,也是能躲过杀毒软件查杀的方法之一。
================================================================
好,既然特征码已经定位出来了。这样也就可以对其进行修改了,下面是我已经修改了的灰鸽子的特征码(只修改了一处)并且加了壳所运行之后,分别用卡巴斯基和专杀工具所扫描的结果,如图3、4所示:
这下大家可都明白了吧?其实专杀工具只是针对某一特定的病毒来进行专杀的,如果稍微修改一下病毒的特征码或加花指令就能轻松的躲过专杀检测。而至于杀毒软件确有该病毒的多套特征码,即使稍微改下病毒的特征码也会被像卡巴斯基那样强悍的杀毒软件给检测出来。所以大家不要一味的认同专杀工具有多么厉害,其实更厉害的是杀毒软件这位巨人。