进入21世纪,计算机病毒同样进入了一个崭新的时代了。从功能上来划分,早期的病毒意在破坏计算机软件或者硬件,而当今的病毒却多以窃取目标计算机的信息为目的。从作者目的上来划分,早期的病毒开发者意在炫耀能力或者证明实力,而当今的病毒开发者更多的考虑到利益的问题。当今的病毒与黑客技术结合进入了新的病毒时代。因此我大胆的假设,现在的计算机可以简单的分为安全和健康。木马和等间谍程序危害计算的安全,传统的病毒则危害计算机的健康。越来越多的人意识到,计算机的安全远比健康来到重要,受到盗号木马的威胁,让你顷刻之前你的隐私和财产暴露在黑客以及病毒制作者面前,信息的泄漏小则侵害你的个人隐私,大则危害公司命脉,号称软件大王的微软,都曾被黑客入侵而导致大量windows源代码外泄,造成损失过亿。目前此类盗号以及窥视私人隐私的案例在国内乃至国际已经相当普遍。许多使用者表示宁愿计算机不健康,也不要你的计算机不安全。可见其在用户心中的地位。
与此同时,反病毒的前沿技术同样也在朝这方面发展,由于黑客与病毒制作者相互结合,免杀技术的发展,目前主流的免杀技术包括:
免杀技术之一:加花指令
加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像江民杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。
免杀技术之二:加壳
举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
免杀技术之三:修改特征码
病毒加壳虽然可以逃过一些杀毒软件的查杀,但是却逃不过杀毒软件的内存杀毒,因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。举例来说,如果程序是一张烙饼,那特征码就像上面的芝麻,每一张饼上面的芝麻位置是不同的,所以每个程序包括病毒特定位置上面的字符也是不同,这粒用来识别是不是病毒的“芝麻”就是特征码。
要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以自动定位出特征码,黑客们只需简单的修改就可以完成“免杀病毒”的制作了。
此类技术很大程度上使得病毒特征码技术越来越无法适应目前的反病毒的要求,各个厂商开始开发以行为分析技术为主的主动防御体系,该体系通过分析病毒行为来判定病毒木马,此类技术的发展,很大程度上切中了病毒发展的趋势,因而取得了良好的应用效果,但目前此技术各个厂商发展不一,属于新型反病毒技术。