加壳与病毒
病毒要想生存,除了增加自身的变形能力以外,还可与程序加壳压缩联系起来。我们先来看看病毒变形的目的,因为现在的反病毒软件,基于特征码检测,增加变形能力,使得特征码检测方法更加困难。那么,如果再和程序加壳技术结合起来,那么将使的单单通过添加特征码方法解毒彻底失效,解毒时,必须同时更新扫描引擎,而现在并没有通用的解壳方法。因此加壳压缩和变形结合起来,将使得反病毒厂商手忙脚乱,也使得反病毒软件用户痛苦不堪,频繁的更新,除了特征码,还有扫描引擎。给平常的病毒加个壳,比如用upx,现在通常反病毒软件,对于常用的加密加壳压缩程序,都有相应的解壳程序。效果并不好,所以如果病毒本是既是一好的变形加密加壳压缩程序,那么,目的是强迫更新扫描引擎,当然也是可以被动态解压检测出来的,只是增加了解毒的很多工作量。实际上加壳技术不仅仅用于软件保护,也可用于好的病毒。好的病毒不一定要非常快的传播速度,难于检测,难于查杀更重要一些,就像现在杀毒界的虚拟机技术,也不过是个雏形,有很多的功能并不能完全虚拟化,同时若加壳代码本身可变形,同时有多种加壳算法可供随机选择,那么就很难找出其中的规律以及关系。总之,好的杀毒软件至少应该具有的技术功能之一就是要具备压缩还原技术:对Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等几百种压缩加壳软件自动还原,彻底解除隐藏较深的病毒,避免病毒死灰复燃。