【IT168 专稿】一直以来，检测电脑是否被病毒或木马感染可以依赖于杀毒软件。当一些病毒或木马经过伪装可以摆脱杀毒软件的查杀之后，杀毒软件对一些善于伪装的病毒失去了检测能力。对于这部分通过伪装而摆脱杀毒软件查杀的病毒，我们称为“免杀病毒”。由于经过伪装的病毒比其他病毒更具破坏力，如何查杀伪装的病毒或木马成为困扰普通用户的一大难题，因为一些电脑知识丰富的电脑高手不用杀毒软件都可以查杀伪装的病毒或木马。其实，伪装再巧妙的病毒也会有漏洞，只要方法得当，一样可以检测精心化装的病毒或木马。

    病毒的伪装如同现实生活中的人化妆一样，只要了解其常用的“化妆”手法，就可以发现“化妆”的漏洞。通过漏洞，我们可以非常轻易的找出伪装的病毒或木马。只要我们掌握了病毒常用的“化妆术”，然后层层剖析，找到漏洞又有何难？

    病毒常用的伪装技术
    病毒或木马伪装的目的，就是为了摆脱杀毒软件的监控，避免病毒或木马程序被查杀。目前，99%的杀毒软件都是基于特征码匹配的查杀模式，通过分析病毒的特征码来判断病毒。病毒的伪装技术，就是想尽一切办法摆脱杀毒软件的查杀，常用的方法有以下几种：

    1、加花指令：加花是病毒常用的伪装手段，加花的原理就是通过添加加花指令让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。而加花指令，就是一些无用的垃圾代码，类型加1减1之类的无用语句。添加了加花指令并不影响病毒或木马软件的正常工作，只是让杀毒软件无法查杀病毒或木马程序而已，这也就是通常所说的免杀技术。

    2、加壳：加壳是目前最流行的病毒伪装手段，也是一种非常有效的病毒伪装技术。举个例子来说，如果说病毒程序是肉馅，而壳是水饺皮，加了壳的病毒如同包好的水饺一样，很难知道里面是什么馅的。对病毒程序加壳之后，杀毒软件很难判断壳里面的程序是否合法，这样就达到了干扰杀毒软件检测的目的。图一

加了壳的病毒

    为了将病毒程序隐蔽的更好，一些病毒作者通常会将病毒程序进行多次加壳，最外面的一层壳，通常是一个诸如“千千静听”这样的合法程序。披上了合法的外衣之后，病毒程序就可以堂而皇之的进入用户的电脑并伺机破坏。要想找到病毒源程序，需要脱壳，而脱壳技术是很多用户并不了解的，为此，加壳是躲避杀毒软件查杀的最有效手段之一。

    3、修改特征码：杀毒软件之所以能够查杀病毒，是因为病毒库中已经搜集了病毒的特征码。在病毒程序中，特征码的位置是固定的，不同的病毒，其特征码的位置也是不同的，杀毒软件的病毒库中，记录了每款病毒特征码的位置。为此，一些病毒程序作者通常会修改特征码来躲避杀毒软件的查杀。

    这就是目前最流行的病毒伪装技术，有些病毒可能同时使用多种病毒伪装技术，以干扰杀毒软件对病毒的查杀。了解了病毒的常用伪装技术，我们就可以在电脑中查找免杀病毒的踪迹。

    查找免杀病毒的踪迹
    病毒程序经过伪装之后虽然可以摆脱杀毒软件的查杀，但这并不意味着病毒程序不会在电脑中也隐藏起来。伪装之后的病毒仍然是一个程序，只要运行就会留下踪迹。免杀病毒通常会在以下几个地方留下活动的踪迹：

    1、进程：任何一款软件只要在电脑中运行，一定会占用一个系统进程。既便病毒程序经过了伪装，只要细心查找，仍旧可以找到病毒的蛛丝马迹。

    2、启动项：经过精心伪装的病毒在杀毒软件的严密监控之下进入了用户的电脑，要想搞破坏，必须运行，而且要随操作系统的启动而自动运行。为此，启动项中肯定会留下免杀病毒的足迹。以Windows操作系统为例，注册表中有启动项，开始菜单的“启动”程序组中也有启动，开机的autoexec.bat中也包括启动程序选项。

    3、网络端口占用：目前所有的免杀病毒或木马都是网络型病毒，这些病毒程序一旦工作，就会通过网络与外界联系，自然会占用一个网络端口。图二

程序占用网络端口列表

    4、生成文件：免杀病毒是一个程序，要想工作，如同其他应用软件一样需要安装。为此，只要用户的计算机感染了免杀病毒，一定会在硬盘中生成文件。

    不难看出，免杀病毒的精心伪装可以骗过杀毒软件的监控，但会在电脑中留下多处痕迹。在查杀时，我们只要根据病毒在电脑中留下的踪迹，可以非常容易的找到病毒。

    追寻踪迹揪出免杀病毒
    找到了免杀病毒的踪迹，相当于揪住了病毒的小尾巴，这样，我们可以非常顺利的揪出隐藏在系统中的免杀病毒，然后将其删除就可以了。由于免杀病毒也有一定的隐蔽性，要想准确的找到免杀病毒的踪迹，还有一定的技巧。

    1、准确分析系统进程：很多免杀病毒除了躲避杀毒软件的查杀之外，还有防范人工查杀的“绝技”。由于病毒运行需要产生一个系统进程，很多免杀病毒会使用一些隐藏方法。一些免杀病毒会生成explore.exe进程，与正常的系统进程explorer.exe进程仅有一字之差；也有一些病毒将诸如svchost.exe文件删除，自己生成名字为svchost.exe文件，病毒的进程在任务管理器中自然是svchost.exe系统进程，事实上这个进程是病毒程序。图三

瑞星卡卡助手中的进程列表

    为了准确的分析系统当前的进程，建议用户不要通过任务管理器查看进程，而是使用第三方软件查看系统进程， “瑞星卡卡安全助手”是一款不错的软件。通过“瑞星卡卡安全助手”查看系统进程，可以看到进程对应的文件，更重要的是该软件还具备查看每一进程调用了哪些文件的功能。一旦发现可疑程序，有可能是免杀病毒的源文件，点击该程序，如果卡卡安全助手没有对该程序的解释，则证明该程序是病毒源程序。

    2、查看各项启动选项：由于启动项在操作系统中有多处位置，普通用户很难一一找到，为此，我们可以借助“瑞星卡卡安全助手”软件查看各项启动选项。在“系统启动项管理”中，我们可以一一查看，卡卡安全助手可以发现可疑的程序，帮助用户寻找免杀病毒的源文件。

    3、查看网络端口占用：尽管netstat –an命令可以查看当前开放了多少个端口，可是无法判断哪个程序占用了哪一端口。借助“瑞星卡卡安全助手”或“奇虎360安全卫士”这样的第三方工具软件，可以非常容易的查看到每个应用程序占用的网络端口。可疑的程序，既可以初步判断为病毒源文件。图四

端口使用情况列表

    在怀疑机器已经被免杀型病毒感染时，最好对进程、网络端口占用情况和启动选项做详细的对比，而不是单一的查看某一个选项。对三个选项进行综合查看后，就可以轻松揪出电脑中的免杀病毒。

    总结：免杀型的病毒虽然经过了精心且迷惑性非常强的伪装，但只要运行就会在电脑中留下蛛丝马迹。了解了免杀病毒的常用伪装手法和特点之后，层层剖析，仍旧可以揪出隐蔽在电脑中的免杀病毒。