木马的免杀伎俩

　　作为挂马所用的木马，其隐蔽性一定要高，这样就可以让用户在不知不觉中运行木马，也可以让挂马的页面存活更多的时间。黑客为了让木马躲避杀毒软件的查杀，使用的伎俩很多。通常使用的方法有：

　　加壳处理：关于壳的概念我们曾经介绍过，就是为了让别人无法修改编译好的程序文件，同时压缩程序体积。木马经过加壳这一道工序后就有可能逃过杀毒软件的查杀，这也是为什么我们装了杀毒软件还会感染老病毒的原因。虽然目前的杀毒软件都支持对程序脱壳后再查杀，但只局限于一些比较热门的加壳程序，例如aspack、UPX等，而碰上一些经过冷门加壳程序处理后的木马时，就无能为力了。所以加壳仍是黑客比较常用的免杀伎俩之一。

　　冷门的加壳程序

　　修改特征码：杀毒软件是根据病毒特征码来判定一个程序是否是病毒的。杀毒软件在对程序进行检测时，如果在程序中发现了病毒特征码，就将该程序判定为病毒。黑客当然也明白这个道理，于是他们会修改木马中被定为特征码的部分代码，将其加密或使用汇编指令将其跳转，这样杀毒软件就无法在木马中找到病毒特征码，自然也就不会将其判定为病毒了。

　　虽然这两种方法都可以躲过杀毒软件的查杀，但是我们还是有办法阻止木马运行的，具体方法将在防范部分讲到。那么木马是如何“挂”在网站上的呢?这里我们以“灰鸽子”木马为例，演示一下黑客挂马的过程。演示用的“灰鸽子”木马已经经过免杀处理，杀毒软件无法查杀。