杀毒软件是如何工作的?电脑杀毒的几种方式介绍( 八 )


关于OD加载入内存不杀,运行后被内存查杀的问题:
OD加载的和真正的运行有区别,一些加壳的东西加了木马OD载入不杀内存,真正运行了就被杀,说明真正运行了内存中会还原某些代码,所以遇到加壳OD不杀,运行被杀的情况,平时我们遇到的木马,未加密加壳前在OD中是可以被杀和定位内存特征码的至于一种情况,如果木马未做任何处理的时候,就是一个原始木马,拿来OD载入不杀内存,运行了就杀,这种情况我没遇到过,如果你遇到了无壳的出现这种情况,基本上就是被一个内存免杀技术不过关的人修改过的,碰巧被你用了
如果你在免杀过程中遇到了OD载入不杀,运行内存被杀的情况,请尝试修改特征码,而不是给它加花或加密,正确修改了内存特征码是可以完全内存免杀的,瑞星不是用来实时监控,是用来手动查杀内存用的 。
诺顿:它查杀的是PE文件头,就是那一串代码,有一个加壳程序可以把它打乱,高技术的甚至可以把它整个移走以免杀 。
卡巴斯基:国内外数一数二的杀毒软件,曾获世界第一的称号 。它的优点就是穿壳能力墙(虚拟机技术),弱点是一见花指令就怕 。免杀它一般是加花指令 。
NOD32:启发式杀毒技术,不再是单纯的特征码技术,就是运用一些木马程序特有的结构来判别是否木马,但是缺点是解密能力差,免杀它通常加一个壳再加一个花 。
Ewido:一款非常不错的杀木马软件,它的内存查杀和瑞星一样变态,而且穿花能力强,比起国内木马克星来说它不知道好多少倍 。而且他加入了注册表查杀,免杀它要先过内存再加强壳
运用软件进行端口及进程防御
冰刃:用于查看隐藏端口,进程,服务等,是一个非常好的安全工具 。
端口关联查看器:看端口工具 。
木马辅助查找器:灰鸽子工作室出品,用于监视文件 。
Regmon注册表监视器:用来监视注册表 。
Filemon文件监视器:用来查看文件调用的所有DLL 。
其实杀毒软件是如何工作的并不重要,重要的是我们需要TA的存在,无规则不成方圆,但又规则并不一定就是好的,至少对于操作系统来说,杀毒软件就是最大的病毒程序,但这只是相对而言 。

推荐阅读