杀毒软件杀毒原理(草稿)
- 渗透知识学习是基础,只有先了解相关概念,比如 “加壳”,才可能在攻击场景中想到运用加壳技术。
- 近期对卡巴斯基杀毒原理进行了测试,此次测试有侥幸成分,且可能与卡巴斯基近期更新有关。
- 木马程序常用加壳躲避杀毒软件查杀,有从业者建议一般加 5 层壳。但当前杀毒软件(尤其是服务于国际、跟踪最新国际黑客行为的类型)工作原理已变化,会以软件是否存在破坏行为为前提无差别识别,导致部分正常exe文件也可能被判定为存在风险。
- 加壳可简单理解为类似将 exe 文件打包成 zip 格式的操作,早期这种方式能规避杀毒软件查杀,因为打包后程序无法被 zip 软件调用进而造成破坏。但如今该方法已失效,这类国际杀毒软件会先打开 zip 中的 exe 文件进行检测。不过最终是否卸载被判定的文件,决定权仍在使用者手中,并非完全由机器判断决定。
道高一尺,魔高一丈,方法都是在此消彼长的博弈中想出来的!AI可以检索已有方法,但是没办法替代人去思考!
