如何破解免杀的流氓软件

现在流氓软件大行其道，这段时间好像一下子销声匿迹了。其实它们依然存在，只不过“隐身”了而已，为什么会这样？因为流氓软件采用了木马、病毒常用的免杀技术，换了个马甲就实现了“来无影”。
　　由于不同的安全工具采用的查杀方法是不一样的，杀毒软件主要利用病毒特征码进行分辨，而反流氓软件一般利用流氓软件的进程名称等信息进行查杀。
　　所以流氓软件喜欢针对杀毒软件采用一些病毒木马常用的免杀方法，而针对反流氓软件就需要对程序的内部特征消息进行修改，但也有二者兼有的流氓软件，这就更难防范了。下面我们以“360安全卫士”能检测出的“很棒小秘书”（未免杀版）为例，演示流氓软件是如何制作针对杀毒软件和反流氓软件免杀的以及我们应该如何防范。
免杀怎样做出来的
　　首先，利用检测工具PEiD（软件下载地址：http://www.cpcw.com/bzsoft ）对“很棒小秘书”的安装包进行检测，从检查的结果为“什么都没找到”得知该安装包没有进行过任何加壳处理（图1）。我们知道很多安全工具都是利用某些关键字为查杀的目标，所以要对程序中的关键字进行修改，这些关键字包括“很棒小秘书”、“很棒公司”、“henbang”等。
　　接着，运行修改程序C32Asm（软件下载地址：http://www.cpcw.com/bzsoft），点击“文件”菜单中的“打开十六进制文件”命令选择安装程序，再点击“搜索”菜单中的“搜索”命令，在弹出的窗口中的搜索选项中分别填入上面这些关键字进行搜索（图2）。
　　搜索到后，在它们的路径上面点击鼠标右键，选择“粘贴”命令，用其他的关键字进行复制。需要注意的是复制的关键字长度要一样，此外不能使用“替换”功能，它在十六进制下不起作用。
　　然后，运行调试工具OllyDbg（软件下载地址：http://www.cpcw.com/bzsoft）载入修改后的流氓软件，对它的文件头进行简单的修改。选中文件头的第一句后，点击鼠标右键中的“汇编”命令，在弹出的汇编窗口分别将这些语句更改为“NOP”即可（图3）。　　选择刚刚修改的这些语句，选择右键中的“复制到可执行文件”菜单中的“选择”命令，最后在弹出的窗口通过右键中的“保存文件”命令将修改的服务端程序进行保存就可以了。
　　最后，再利用加壳程序对“很棒小秘书”进行处理，这样更具有欺骗性。运行加壳程序ASProtect（软件下载地址：http://www.cpcw.com/bzsoft），在“保护文件”和“输出文件”选项中分别设置服务端程序以及程序加壳处理后的输出地址，直接点击“保护”标签中的“保护”按钮即可（图4）。
　　免杀制作完成后，用户还需要修改“很棒小秘书”的程序安装，对安装目录中的文件名和文件目录等重要的信息进行修改，以免反流氓软件利用这些信息对程序进行查杀，再利用WinRAR等程序将该流氓软件和其他程序进行封装即可。
　　现在我们到多引擎在线杀毒网页（http://virusscan.jotti.org/）上，对修改的“很棒小秘书”程序进行检测，发现仅有一个杀毒引擎能检测出来，其他的都无能为力（图5）。另外我们再利用反流氓软件中的佼佼者“360安全卫士”，对修改版 “很棒小秘书”系统进行检测，同样也没有检测到有什么流氓软件的“生命迹象”。
防范方案
1.使用主动防御软件
　　说到主动防御就不得不说“System Safety Monitor”（软件下载地址：http://www.cpcw.com/bzsoft）这款软件，该软件属于Host-based Intrusion Prevention System（HIPS），可以小到每个进程大到整个磁盘底层保护系统免受不良程序的危害。该软件的功能包括最常见的注册表保护、文件保护、磁盘系统保护、防止进程注入等。当它检测到程序存在危险的操作的时候，就会弹出一个对话窗口提示用户，这样就可以比较好的起到防范作用。
　　小提示：HIPS是一种能监控用户电脑中文件运行的软件，如果文件运用了其他程序并且要对注册表进行修改，就会发出报告请求允许，如果选择了“阻止”，程序就不会运行。
2.分解流氓软件
　　用户可以利用“Universal Extractor” （软件下载地址：http://www.cpcw.com/bzsoft）这款万能的提取器，将程序封装包中的流氓软件先分离出来。这款工具几乎可以提取任何安装格式的文档，无论是简单的压缩文件，还是现在流行的打包工具等，甚至连 Windows Installer (.msi) 程序包，它也能轻松自如地提取出其中的文件。这样我们就可以将捆绑其中的流氓软件清除后，再进行相关软件的安装操作了。
攻防博弈
　　黑客 小恐龙：道高一尺魔高一丈，只要我们想做就可以轻易地躲过任何软件的检测。除了使用免杀外，还可以利用“映像劫持”技术来屏蔽一些杀毒和安全软件。这样在它们还没有进行检测的时候，就已经让它们“残废”了，哈哈！

　　编辑：对那些藏得越来越隐蔽的流氓软件，最有效的防范方法就是及时更新安全软件，并且只到可靠的大网站下载软件。此外，“映像劫持”技术并不是破解不了的，使用映像劫持修复工具即可。