毒师周军：我如何创造一只“杀毒神兽”

做了这么多准备，我们终于准备开发自己的反病毒引擎了。

【火绒安全截图】

（四）

乔装改扮是病毒的基本技能。Win PE 系统中 80% 的病毒都有对杀毒软件的对抗代码。病毒今天穿蓝衣服，明天换黑衣服，杀毒软件就可能无法识别了。

所以在把目标文件放到病毒引擎查杀之前，有一个非常重要的工作，那就是先用“照妖镜”让文件现出原形。这个照妖镜就是虚拟沙盒。

简单来说，就是让文件在这个虚拟的环境里“释放天性”，自由地展示它的好和坏的本性。

这件事情的难点在于，如何让杀毒软件相信，自己不是被放在实验台上任人亵玩，而是真的进入了目标电脑。

很多病毒的脚本会用各种奇异的姿势来测试它是否在真实的系统中。例如向系统请求一些冷门的环境，在真实的系统里，无论病毒提出什么要求，系统一定会满足。但是在虚拟系统里，稍有不慎就会“露馅”。病毒一旦没有拿到理想的相应结果，便不再继续运行。

另外，有些杀毒软件使用开源代码制造脚本解释引擎，这些开源代码本身就可能存在漏洞，这些漏洞如果被病毒利用，则会被病毒逆袭。

举个例子：

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!