2024年4月17日发(作者：迅雷账号注册)

精品文档

一、免杀技术的发展

所谓“免杀”，就是逃避杀毒软件的查杀，目前用得比较多的免杀方法有加壳、修改特

征码和加花指令三种，通常黑客们会针对不同的情况来运用不同的免杀方法。

第一款杀毒软件Mcafee是于1989年诞生的。

1989年：第一款杀毒软件Mcafee诞生，标志着反病毒与反查杀时代的到来。

1997年：国内出现了第一个可以自动变异的千面人病毒（Polymorphic/Mutation Virus）。

2002年7月31日：国内第一个真正意义上的变种病毒“中国黑客II”出现。2004年：

在黑客圈子内部，免杀技术由IT工程师之家团队在这一年首先公开提出。

2005年1月：大名鼎鼎的免杀工具CCL的软件作者tankaia在杂志上发表了一篇文章，

藉此推广了CCL，从此国内黑客界才有了自己第一个专门用于免杀的工具。

2005年2月至7月：通过各方面有意或无意的宣传，黑客爱好者们开始逐渐重视免杀。

2005年8月：第一个可查的关于免杀的动画由IT工程师之家团队完成。

2005年9月：免杀技术开始真正的火起来。

[国内免杀技术的起源时间：2002年7月31日]

小提示：毫无疑问，“免杀”技术是目前最火热的技术之一。“免杀”是可用性很强，应

用范围非常广的一门黑客技术。免杀往往是脚本入侵技术、病毒攻击技术等一些其他黑客技

术的准备工作。举个简单的例子，当一个黑客发现并利用了一个网站所存在的脚本漏洞后，

经过提权最终得到了服务器的管理权限。为了方便和巩固控制，黑客往往需要将后门传至对

方网站服务器上（可能是脚本后门，也可能是PE后门），或者是rootkit，然而对方服务器上

有很厉害的杀毒软件，当这些后门被黑客上传到对方服务器之后，服务器上的杀毒软件识别

并查杀出黑客上传的后门或rootkit，使黑客的工具不能发挥作用。这在很大程序上影响了黑

客对漏洞的利用。但是如果黑客上传的工具是经过免杀技术处理过的，那么黑客就可以通过

简单有效的工具来巩固控制。显然，这只是一个很片面的例子，在真正的Hacking过程中，

免杀技术几乎是无处不在，所以学好免杀技术对于一个信息安全技术爱好者是非常重要的。

免杀技术的定义

从前面可以看出，免杀指的就是让原本被杀毒软件或其它计算机安全工具捕获并查杀的

文件，经过处理后变得不被捕获和查杀，这种技术就是免杀技术，这种处理过程就称为“免

杀”，通常也称之为病毒免杀（因为被杀毒软件或其它计算机安全工具查杀的文件一般都称

为病毒）。

杀毒软件的查杀原理

1、特征码法

杀毒软件运用特征码扫描确定某文件为病毒时，这个文件需要满足两个条件：

(1)该文件中的某一位置与杀毒软件病毒库的某一位置相对应。

(2)该位置上存放的代码与病毒库中定义的该位置上的代码相同。

特征码法的特点：

A.速度慢。

B.误报警率低。

C.不能检查多态性病毒。

D.不能对付隐蔽性病毒。

2、校验和法

运用校验和法查病毒采用三种方式：

(1)在检测病毒工具中纳入校验和法，对被查的对象文件计算正常状态的校验和，将校

验和值写入被查文件中或检测工具中，而后进行比较。

(2)在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件笨

精品文档

精品文档

身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。

(3)将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内

部或别的文件中预先保存的校验和。

校验和法的特点：

优点：方法简单、能发现未知病毒、被查文件的细微变化也能发现。缺点：发布通行记

录正常态的校验和、会误报警、不能识别病毒名称、不能对什隐蔽型病毒。

3、行为监测法

利用病毒的特有行为特征来监测病毒的方法。

监测病毒的行为特征：

A.占有INT 13H

B.改DOS系统为数据区的内存总量

C.对COM、EXE文件做写入动作

D.病毒程序与宿主程序的切换

行为监测法的特点：

行为监测法的长处：可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法

的短处：可能误报警、不能识别病毒名称、实现时有一定难度。

4、软件模拟法

在虚拟机中综合运用多种查杀方法就是通常所说的软件模拟法。

软件模拟法的特点：

软件模拟法的长处：对病毒的判定能力最强（因为综合了多种查毒方法）。

软件模拟法的短处：扫描速度慢，查毒往往不准确。

最终结论：

目前杀毒软件最主要还是依赖特征码识别技术来检测病毒。也就是说，特征码就是杀毒

软件为了判定病毒而从病毒本身提取出来的有特点的代码，我们的免杀就是专门针对这些特

征码的。也就是说，让杀毒软件找不到这些特征码就可以达到免杀的目的了，不过还有一点

要强高速的是，文件本身的功能是不能损坏的，也就是说免杀之后的文件和原文件在功能上

要做到完全相同。只有这样才算是真正有效的免杀。

===============================================================

二、常见杀毒软件及其引擎特点

1、卡巴斯基

俄罗斯出品、扫描未知病毒非常厉害、病毒库很大、扫描速度特别慢、非常占用资源。

2、瑞星

国产、杀毒能力和卡巴斯基差距很大，主动防御功能模块和卡巴斯基也没办法比、优势

就是速度快、系统占用资源相对较少。

3、江民

杀毒能力不错，耗费资源一般，主动防御功能也很不错。

4、诺顿

这个杀软是诺顿公司的，性能卓越。病毒库很大，扫描速度慢。不同版本的诺顿占用系

统资源的程度相差很大。这个杀软的免杀非常好做。是著名杀毒软件中实力最弱的。

5、金山

杀毒能力很差，占用资源一般，速度快。

6、NOD32

这个的查杀机制和其他几个差别很大，针对它的免杀比较难做。如今新版的NOD32加

入了主动防御功能，功能上的提升使它成为目前最能对付的杀毒软件。系统占用资源一般，

精品文档