【IT168 专稿】一直以来，检测电脑是否被病毒或木马感染可以依赖于杀毒软件。当一些病毒或木马经过伪装可以摆脱杀毒软件的查杀之后，杀毒软件对一些善于伪装的病毒失去了检测能力。对于这部分通过伪装而摆脱杀毒软件查杀的病毒，我们称为“免杀病毒”。由于经过伪装的病毒比其他病毒更具破坏力，如何查杀伪装的病毒或木马成为困扰普通用户的一大难题，因为一些电脑知识丰富的电脑高手不用杀毒软件都可以查杀伪装的病毒或木马。其实，伪装再巧妙的病毒也会有漏洞，只要方法得当，一样可以检测精心化装的病毒或木马。

    病毒的伪装如同现实生活中的人化妆一样，只要了解其常用的“化妆”手法，就可以发现“化妆”的漏洞。通过漏洞，我们可以非常轻易的找出伪装的病毒或木马。只要我们掌握了病毒常用的“化妆术”，然后层层剖析，找到漏洞又有何难？

    病毒常用的伪装技术
    病毒或木马伪装的目的，就是为了摆脱杀毒软件的监控，避免病毒或木马程序被查杀。目前，99%的杀毒软件都是基于特征码匹配的查杀模式，通过分析病毒的特征码来判断病毒。病毒的伪装技术，就是想尽一切办法摆脱杀毒软件的查杀，常用的方法有以下几种：

    1、加花指令：加花是病毒常用的伪装手段，加花的原理就是通过添加加花指令让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。而加花指令，就是一些无用的垃圾代码，类型加1减1之类的无用语句。添加了加花指令并不影响病毒或木马软件的正常工作，只是让杀毒软件无法查杀病毒或木马程序而已，这也就是通常所说的免杀技术。

    2、加壳：加壳是目前最流行的病毒伪装手段，也是一种非常有效的病毒伪装技术。举个例子来说，如果说病毒程序是肉馅，而壳是水饺皮，加了壳的病毒如同包好的水饺一样，很难知道里面是什么馅的。对病毒程序加壳之后，杀毒软件很难判断壳里面的程序是否合法，这样就达到了干扰杀毒软件检测的目的。图一

加了壳的病毒

    为了将病毒程序隐蔽的更好，一些病毒作者通常会将病毒程序进行多次加壳，最外面的一层壳，通常是一个诸如“千千静听”这样的合法程序。披上了合法的外衣之后，病毒程序就可以堂而皇之的进入用户的电脑并伺机破坏。要想找到病毒源程序，需要脱壳，而脱壳技术是很多用户并不了解的，为此，加壳是躲避杀毒软件查杀的最有效手段之一。

    3、修改特征码：杀毒软件之所以能够查杀病毒，是因为病毒库中已经搜集了病毒的特征码。在病毒程序中，特征码的位置是固定的，不同的病毒，其特征码的位置也是不同的，杀毒软件的病毒库中，记录了每款病毒特征码的位置。为此，一些病毒程序作者通常会修改特征码来躲避杀毒软件的查杀。

    这就是目前最流行的病毒伪装技术，有些病毒可能同时使用多种病毒伪装技术，以干扰杀毒软件对病毒的查杀。了解了病毒的常用伪装技术，我们就可以在电脑中查找免杀病毒的踪迹。