论文部分内容阅读
赵本山的小品里有句经典台词“别以为穿了马甲我就不认识你”,搞笑说甲鱼是穿了马甲的蛇;在论坛里,大家经常申请小号,用另一个身份发言,这也叫“马甲”,所以“马甲”一词经常被引申为伪装的工具。一些软件作者也常用给文件穿“马甲”的技术保护软件不被恶意修改、破解,这个技术就叫做加壳。目前,加壳技术也越来越多地被黑客利用,用来躲避杀毒软件的查杀。
所谓加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。
为什么黑客能够利用加壳技术来对抗反病毒软件呢?众所周知,目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形,使加密前后的特征码完全不同。脱壳能力不强的杀毒软件,对付此种病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳,则对于这些杀毒软件来说又是一种新的病毒,必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强,则可以先将病毒文件脱壳,再进行查杀,这样只需要一条记录就可以对这些病毒通杀,可以大大减小杀毒软件的病毒库大小。
有加壳也一定会有解壳(也叫脱壳)。目前,脱壳方法分为硬脱壳和虚拟脱壳。硬脱壳是指找出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩一样。另一种方法是虚拟脱壳。由于大部分的壳程序都会在内存解开执行,因此,我们可以让程序虚拟地执行(也有些脱壳程序是真实执行)到完全在内存释放,然后抓取(Dump)内存中的镜像,再重构成标准的执行文件。
瑞星一直在脱壳技术上进行着不懈的努力。近日,瑞星最新的Beta版脱壳引擎正式对外发布。新的杀毒引擎支持目前常见的所有流行的壳。该引擎使瑞星杀毒软件查杀病毒的能力大大增强,同时也减小了病毒库的体积,提升了扫描速度。所有瑞星正版用户均可登录到瑞星官方网站(http://www.rising.com.cn)进行免费体验。
所谓加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。
为什么黑客能够利用加壳技术来对抗反病毒软件呢?众所周知,目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形,使加密前后的特征码完全不同。脱壳能力不强的杀毒软件,对付此种病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳,则对于这些杀毒软件来说又是一种新的病毒,必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强,则可以先将病毒文件脱壳,再进行查杀,这样只需要一条记录就可以对这些病毒通杀,可以大大减小杀毒软件的病毒库大小。
有加壳也一定会有解壳(也叫脱壳)。目前,脱壳方法分为硬脱壳和虚拟脱壳。硬脱壳是指找出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩一样。另一种方法是虚拟脱壳。由于大部分的壳程序都会在内存解开执行,因此,我们可以让程序虚拟地执行(也有些脱壳程序是真实执行)到完全在内存释放,然后抓取(Dump)内存中的镜像,再重构成标准的执行文件。
瑞星一直在脱壳技术上进行着不懈的努力。近日,瑞星最新的Beta版脱壳引擎正式对外发布。新的杀毒引擎支持目前常见的所有流行的壳。该引擎使瑞星杀毒软件查杀病毒的能力大大增强,同时也减小了病毒库的体积,提升了扫描速度。所有瑞星正版用户均可登录到瑞星官方网站(http://www.rising.com.cn)进行免费体验。