另一种隐藏:给自己做个“壳”
今年底,国内杀毒软件厂商瑞星推出了2007测试版,细心的用户应该都能观察到,瑞星这次更新的重点基本在于“脱壳技术”,这个“壳”是什么,为什么厂商那么重视呢?
“壳”(shell),顾名思义,就是一种包裹容器,在计算机方面,它指一种把应用程序压缩精简或者加密处理后用自身代码形成一个新程序的技术,“壳”在运行时将自身包裹的程序资源释放到内存中执行,就恢复了原来程序的面目,由于“壳”的初衷就是加密和精简程序文件的体积,因此许多杀毒软件其实根本无法检测出一个加了壳的病毒,因为针对“壳”而产生的脱壳技术相对复杂,如何完善的检测出大部分被“壳”处理过的病毒一直是业界的难题,利用这一特点,一部分病毒利用“壳”把自身包裹起来,因为杀毒软件对其无能为力,病毒便能先发制人,把杀毒软件消灭以后才释放真实的病毒文件运行感染,这种明目张胆的隐藏可谓恶毒。
由于各种原因,我们只能等待杀毒厂商提供一套完善的解决方案,因为手工脱壳对于一般用户来说是非常不实际的。
今年底,国内杀毒软件厂商瑞星推出了2007测试版,细心的用户应该都能观察到,瑞星这次更新的重点基本在于“脱壳技术”,这个“壳”是什么,为什么厂商那么重视呢?
“壳”(shell),顾名思义,就是一种包裹容器,在计算机方面,它指一种把应用程序压缩精简或者加密处理后用自身代码形成一个新程序的技术,“壳”在运行时将自身包裹的程序资源释放到内存中执行,就恢复了原来程序的面目,由于“壳”的初衷就是加密和精简程序文件的体积,因此许多杀毒软件其实根本无法检测出一个加了壳的病毒,因为针对“壳”而产生的脱壳技术相对复杂,如何完善的检测出大部分被“壳”处理过的病毒一直是业界的难题,利用这一特点,一部分病毒利用“壳”把自身包裹起来,因为杀毒软件对其无能为力,病毒便能先发制人,把杀毒软件消灭以后才释放真实的病毒文件运行感染,这种明目张胆的隐藏可谓恶毒。
由于各种原因,我们只能等待杀毒厂商提供一套完善的解决方案,因为手工脱壳对于一般用户来说是非常不实际的。
<大杂烩:混合型木马
“灰鸽子”,国内一款优秀的远程控制工具,同时也是危害广大用户的木马病毒,它是目前主流的一种结合了rootkit驱动、远程线程注射的混合型dll木马,它将两个技术整合起来,最终形成了这种在正常模式下无法发现进程和文件的强大后门。
针对此类病毒,用户需要结合icesword和process explorer等工具发现被篡改的ssdt和木马dll文件,而后进入安全模式删除。现在已经有流氓软件掌握了高优先级启动方法,使得其在安全模式下也能正常运作,如果遭遇这种恶劣病毒,用户只能求助于dos了。
“灰鸽子”,国内一款优秀的远程控制工具,同时也是危害广大用户的木马病毒,它是目前主流的一种结合了rootkit驱动、远程线程注射的混合型dll木马,它将两个技术整合起来,最终形成了这种在正常模式下无法发现进程和文件的强大后门。
针对此类病毒,用户需要结合icesword和process explorer等工具发现被篡改的ssdt和木马dll文件,而后进入安全模式删除。现在已经有流氓软件掌握了高优先级启动方法,使得其在安全模式下也能正常运作,如果遭遇这种恶劣病毒,用户只能求助于dos了。
三. “进化论”和“安全威胁”
病毒技术一刻不停的发展着,与之相对的反病毒技术也在追逐,这场猫和老鼠的大战永远不会停止,战争过后,留下的是面目全非的操作系统。虽然从某个角度来看,这种技术追逐会给业界带来无数种计算机科技发展的可能,但是,普通用户要在网络上被迫“适者生存”的时代,还是不要到来的好
病毒技术一刻不停的发展着,与之相对的反病毒技术也在追逐,这场猫和老鼠的大战永远不会停止,战争过后,留下的是面目全非的操作系统。虽然从某个角度来看,这种技术追逐会给业界带来无数种计算机科技发展的可能,但是,普通用户要在网络上被迫“适者生存”的时代,还是不要到来的好
