解密:制作不含木马的病毒，易于杀死！！_病毒安全_

最近，一份显示，知名品牌的防病毒软件对新计算机病毒的检测率仅为20％，而漏杀率则高达80％。那么，是什么原因导致这种情况呢？是因为今天的病毒功能太强大，还是杀毒软件的能力受到限制？今天，我们将使用示例来了解反病毒软件的“视线”。

使用工具：MaskPE

使用工具：超级加法器

使用工具：私有exe保护器

由于木马软件的“黑色”特性，只要很快宣布它们，它们就会被防病毒软件检查并杀死。为了避免这种情况，我开始研究如何防止黑客程序被杀死，从而使各种防病毒软件在它们面前变得“视而不见”。

如何达到杀伤作用

当前的防病毒软件会根据病毒的签名检查并杀死所有病毒。为了防止木马程序被反病毒软件检测和杀死，黑客将通过各种方法对其进行修改或伪装，即执行反病毒处理。

当前，避免杀死的常见方法包括炮击，添加花朵（指令），修改特征代码，更改入口点和入口点加密。同时，当前主流的防病毒软件使用复合签名，因此通常很难通过一种方法达到防病毒效果。目前，需要几种方法来实现防病毒效果。

实际的战斗程序没有被杀死

一、杀伤力从程序内部开始

准备我们要避免的黑客程序。首先执行加密，然后运行加密程序MaskPE。这是一个自动修改PE文件的软件。它可以破坏程序的原始源代码，从而可以生成反病毒木马或病毒。

单击“加载文件”按钮以选择防病毒程序，在“ SelectInformation”列表中选择任何项，最后单击“ MakeFile”按钮将加密的文件保存在弹出窗口中。

二、花卉说明混淆了防病毒软件

运行“超级花卉添加器”，这是一个全新的花卉添加程序。首先将服务器程序直接拖动到程序的主界面以将其释放，然后从“花指令”下拉列表中选择一个花指令，然后单击“添加花”按钮。这样，将花指令成功添加到了黑客程序代码的最前面，并且从文件头提取签名的防病毒软件就变得无能为力了。

三、包装以防止防病毒软件分析

然后打包它，以防止防病毒软件比较源代码和签名代码。运行PrivateexeProtector（一个打包程序），然后在显示的“应用程序”列表中设置需要免于杀死的黑客程序。然后，检查下面“设置”选项中的“动态保护”，最后单击工具栏中的“启动保护”按钮，立即启动脱壳过程。

四、更改入口点防签名比较

最后，执行更改入口点的过程。其目的类似于打包过程，打包过程是为了防止防病毒软件从黑客程序的入口点获取源代码。运行PEditor软件以修改程序，单击“浏览”按钮以选择黑客程序，找到“入口点”信息选项，然后将1添加到原始值，然后单击“应用更改”按钮以完成过程。设置确认。

黑客程序完成反病毒处理后，首先使用各种反病毒软件对其进行反病毒检测。尚未安装防病毒软件的用户还可以通过多引擎样本病毒检查网站进行检测。

如果尚未被防病毒软件检查并杀死，则还应该在本地测试防病毒处理后的程序是否可以正常运行。只有经过这一系列测试之后，才能确定黑客程序是否成功避免了杀戮。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-345449-1.html