浅谈国内杀毒软件查杀机制与黑客如何进行免杀木马

淼楠

特别说明：此文可能很多地方存在一些技术上的遗漏和不足，有哪里说的不对的地方请各位朋友指点，互相学习交流，没有任何企图和目的。文中采用了白话文的方式尽可能通俗的让大家都能理解，希望各位牛人不要笑话我，谢谢您的合作！！！   

        到了夜晚了，忙碌了一天，终于来到了绅博又和大家见面了，回想起今天一天的工作，真的很充实，大家今天感觉怎么样是不是跟我一样充实啊？

        今天简单给大家说说瑞星杀毒软件把，瑞星杀毒软件众所周知，都是咱们国内的知名老牌杀毒软件。它我就不多介绍了，这一章主要说一说瑞星杀毒软件的“网页病毒监控”网页病毒监控每个杀毒软件都有，但是大家有对它了解多少呢？谁又知道杀毒软件是如何查杀网页病毒呢?

       这里有的朋友就要问了，什么是网页病毒，网页病毒又是如何作怪的？

       网页病毒也就是黑客职业术语中的“网页木马”网页木马危害很大，病毒在网络中传播，主要途径就是依靠网页木马来进行扩散的，网页木马主要的作用又是什么呢？我们大家都知道，程序员在编写程序的时候，会由于粗心，或者其它因素，导致程序在某些环节上出现一些漏洞（bug），黑客们通过反汇编形式，，将程序进行逆向分析，找出这些问题，并且将其利用起来。通过特殊的脚本代码，将程序的漏洞利用，做成网页木马。

       我们可以这样理解，微软工程师，在开发IE浏览器的时候已经注意到这点了，就是在默认的情况下，也用户访问网页的时候，是不允许后台下载程序并且执行的，而黑客通过特殊的脚本代码，利用微软的IE漏洞，或者其它程序的漏洞，将自身的权限提升到最高，然后下载并且执行。网页木马就是黑客通过脚本语言，构造的特殊语句，制作出来的可以在后台下载EXE文件并且运行的，一个html网页文件。黑客会将网页木马放到网站上，当我们在不知情的情况下，访问网页，就会中木马，而且不会有任何提示。

       解说完毕。

       传统杀毒软件是如何对网页木马进行查杀的，和查杀EXE文件一样，都是依靠特征码来进行查杀的，我上文说过了，网页木马是黑客通过脚本语言，构造的特殊html网页文件，杀毒软件进行判断，就是依靠这些特殊的地方来进行查杀。比如说这个网页里面多了一个字符串%^&()，而这些字符串是在正常网页里面很少要用到的。当我们杀毒软件开启网页监控的时候，在你浏览网页的时候，杀毒软件的杀毒引擎就会对这些网页进行扫描。发现带有特殊代码的网页，就进行报警。  
     （早期杀毒软件发现网页病毒后，会强行关闭你当前的网页，或者不让你访问这个网页，而现在，基本上都是将带有病毒的网页进行隔离，你让你去访问这个网页来进行防护的。）
       黑客如何进行免杀网页木马的呢 ？
       传统黑客是是通过将网页木马文件进行加密来躲过杀毒软件的查杀，因为网页加密后，所有的字符串信息就会出现变化，这样就能起到免杀的作用，就能逃过一劫，暂时的逃脱杀毒软件的追杀。
       但是加密过的网页木马在互联网中传播时间长了就会被杀毒软件截获样本，而这些加密过的网页，他们也会和正常的加密网页有不同之处，这样，杀毒软件在将加密过的网页木马进行，特征码定位，加入病毒库。
       这是一张加密过的网页源代码和一张没有加密过的网页源码，为了让大家看的更清楚，传了两张图进行对比.  
图一，
这是没有加密过的网页代码。
图二，

这是加密过的网页代码


       通过这两张图，大家能够清楚的看到，加密过的网页，和未加密的网页有明显的区别，杀毒软件根本无法查杀加密过后的网页木马。黑客的网页木马暂时的逃脱了杀毒软件的追杀。

       时间的推移，越来越多的加密型网页木马在互联网中爆发，杀毒软件接到一批有一批的客户反应电脑中都，杀毒软件厂商对，加密过后的网页木马进行分析，找出不同之出，加密过后的网页木马和正常被加密过后的网页木马也有不同之处，杀毒软件又将这一类的加密型网页木马进行特征码分析，加入病毒库。

黑客的第二招：

       网页木马第一次加密后，被杀毒软件进行查杀，黑客又想到一招，将网页木马使用不同的加密方式进行多次加密，为了免杀网页木马，有的网页木马甚至被黑客使用不同的加密方式加密十几次。这样杀毒软件的网页监控引擎根本无法对加密数十次的网页文件进行查杀。

       为什么黑客使用多次加密后杀毒软件无法查杀。

       第一，加密次数太多无法进行匹配特征码，导致无法查处病毒。

       第二，由于加密此说过多，无法分辨到底是不是病毒网页还是正常网页，为了避免误报，选择不查杀。（有一些网站为了网站的安全是要把网页进行加密的。）

瑞星的独到的查杀方式。

       多重加密网页木马对杀毒软件来说是一种研究的技术考验，而瑞星杀毒却能轻易的查杀多次加密的网页木马，这又是为什么呢？ 秘密就在于：瑞星对方多重加密的网页木马，采用内存还原网页的方式。

       什么是内存还原网页呢？黑客在如何加密网页，在我们访问网页的时候，都会从内存中一层一层的还原到未加密的形式，然后在执行网页代码。也就是说不管怎么加密，到最后都是要从内存中还原回来。

       这时候网页木马就等于赤裸裸的躺在那里，瑞星就能轻易的进行特征码匹配，很容易的就对网页木马进行了查杀。报警。。。拦截。。。上报样本。。。。技术人员分析。。。。加入病毒库。

       说的太多了今天就到这里把，(*^__^*) 嘻嘻……没这项技术的杀毒厂商看了这篇文章，记得给稿费啊。今天就到这里，再次感谢CCTV.MTV,台湾电视台，凤凰电视台.....总之谢谢大家对我的支持，欢迎更多的朋友与我技术交流。

此文章是由北京天鹰网安公司--1号客服-天鹰姐姐在07年22日夜晚，转帖请著名绅博论坛首发

[ 本帖最后由 jpzy 于 2008-7-25 11:40 编辑 ]

a289781591

无语.

淼楠

怎么个无语法？

caolizhen

里面怎么有乱码。。。。。。

gonewild

楼主没去掉防拷贝的乱码

ww05241987

不喜欢转的而不说

清蒸波波面

上面很多乱码，楼主最好再排版下

jpzy

好多乱码，所以我编辑了一下~！
至于内容，不做评论~~~~

sky123456

居于特征码的始终有局限

三人行

还有加密过后的网页木马，这可不好防啊