网络安全防护之木马免杀技术探密（三）

梦幻王子

为了更好的使用我们的计算机，使它免受木马病毒的侵害，我们就需要掌握木马病毒的确认及查找等使用方法，使得木马病毒在我们的计算机中无所遁形。
通过什么样的方法能在杀毒软件的配合下，找出藏身在计算机中的木马病毒呢，下面首先来谈一下，什么是木马病毒的免杀技术。了解免杀技术涉及两个基本概念：免杀和查杀。具体可分为二类:   
    1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描，所得结果。   
    2.内存的免杀和查杀:判断的方法。
    1>运行后,用杀毒软件的内存查杀功能。  
    2>用OD载入,用杀毒软件的内存查杀功能。
所谓的木马免杀技术，是指让我们计算机中安装的杀毒软件，无法有效的对木马文件进行扫描判断和处理，一般杀软件多采用特征码形式进行判断，利用杀毒软件所掌握的特征码与所扫描到的文件进行多种方式的比较，如果该文件有多处特征码与杀毒软件所掌握的特征码一致，则会被杀毒软件自动断定为木马病毒程序，进行处理。
什么又是杀毒软件所掌握的特征码呢？
就是在一个程序文件中能识别一个程序是一个病毒的一段不大于64字节的特征串。
另外，为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到免杀效果,当然有些杀毒软件要同时改几处才能免杀。
此外如果对计算机安全知识有一定基础的操作者，可以使用CCL(特征码定位器) 自己对木马病毒进行比较，可以利用从杀毒软件厂商提供的最亲特征码中提取最新的特征码，然后利用CCL和怀疑为木马病毒的程序文件进行比较，从而断定是否为木马程序。
只要掌握以上的方法，就能彻底的清除计算机中的木马病毒，使我们的信息网不被木马病毒所破坏