病毒名称：杀软伪装器变种CJ（Trojan．Win32．FakeVir．cj）

病毒名称：杀软伪装器变种CJ（Trojan．Win32．FakeVir．cj） 病毒类型：木马病毒 病毒危害级别：★★★☆ 病毒分析： 这是一个木马病毒。病毒伪装成杀毒软件的样子，该病毒运行后会弹出一个类似于杀毒软件扫描病毒的窗口，然后不论计算机有没有病毒，该程序都会弹出窗口提示扫描到病毒，然后让用户选择清理病毒，但是点击清理病毒需要注册软件，     

木马免杀偷偷笑 杀毒软件睡大觉

喜欢黑客技术的朋友,必定都经常与木马病毒打交道。虽然利用木马病毒可以控制别人的电脑,偷窥别人的隐私……,但杀毒软件可不是吃素的,它们个个都是见血封喉的主儿。别说国外了,光国内厉害的杀毒软件就有瑞星、金山和江民等一大票,木马病毒“危在旦夕”呀!于是呢,我就成天琢磨着如何才能让木马病毒拥有强大的免杀能力。     

KV2005的秘密武器

许多木马程序在运行时会首先终止杀毒软件的运 行,而且这类木马病毒变种速度极快。这种情况下,一 旦某天电脑用户忘记升级病毒库,很有可能就会被病毒 入侵。这样杀毒软件无法工作,更别提“升级”和“杀 毒”了。     

让电脑免费拥有数十款强悍杀软

大家知道，杀毒软件是彼此势同水火的，一台电脑上如果安装两个杀毒软件，往往不是异常缓慢就是死机崩溃。但是偏偏现在的病毒木马非常厉害，有许多病毒木马针对某种或某几种杀毒软件专门进行了免杀操作，现在安装的杀毒软件根本无法检测出病毒来。多款杀毒软件同时查杀检测，这样效果要好得多。如何才能在电脑上拥有数十款杀毒软件，让木马病毒无处遁形呢？     

用占位法对付顽固病毒木马

这一阵总感觉机器好像变慢了,但用最新病毒库的杀毒软件通杀了一次也没什么结果,看来可能是遇到了“免杀”型的木马病毒了。回想最近也没下载过什么软件,无非是通过QQ和朋友联系了—下,难道是QQ之类的木马病毒？于是从网上下载了QQKAv这个“QQ病毒木马专杀工具”,一运行“闪电杀毒”,     

给木马穿上“隐身衣”

以前我们曾谈到可以通过对木马进行加花指令、加壳等方法打造免杀木马,但这种木马使用时间短,往往只要杀毒软件版本一更新或者更换其它杀毒软件,就能很容易被认出,撕开伪装而被杀之。难道就没有一种很好的方法：让木马做到长时间的免杀吗？ 方法当然有,今天笔者就来介绍一种通过使用“复合定位特征码”的方法,制作一种超级免杀木马,所有杀毒软件按此方法都能过哟!这样的话我们的木马就等于穿上了一层“隐身秘”……     

江民KV2008主动防御让“免杀”病毒无处可逃

2007年9月11日,国内领先的反病毒厂商江民科技宣布,针对目前病毒频频利用"免杀"技术逃避杀毒软件查杀的问题,成功研发出了一项可以彻底应对病毒频繁变种逃避     

明察秋毫，追击免杀型病毒

为了抗击病毒、木马、黑客软件等恶意程序的进攻,我们通常会安装各种杀毒软件来应对。杀毒软件虽然功能强悍,但并非无懈可击。实际上,对于狡猾的病毒来说,往往会采用免杀等技术逃过杀毒软件的监控,甚至会对杀毒软件进行破坏操作。所以,对于免杀型病毒来说,仅仅依靠杀毒软件来应对是不够的,这就需要使用各种安全工具来配合杀毒软件运作,及时发现并清除免杀型病毒。     

基于特征码的PE文件自动免杀策略

设计一种以逐块恢复法替代传统逐块替换法的特征码定位算法,在此基础上提出一种针对不同区段进行自动免杀的策略。将该策略与改进的多重特征码定位算法相结合,在保持被免杀软件原有功能的前提下,使用等价代码替换技术、字符串与输入表函数名位移等方法自动进行特征码的去除和替换,由此避免被杀毒软件识别为恶意软件。实验结果验证了该策略的有效性。     

用占位法对付顽固病毒木马

这一阵总感觉机器好像变慢了,但用最新病毒库的杀毒软件通杀了一次也没什么结果,看来可能是遇到了“免杀”型的木马病毒了。回想最近也没下载过什么软件,无非是通过QQ和朋友联系了一下,难道是QQ之类的木马病毒？于是从网上下载了QQKAV这个“QQ病毒木马专杀工具”,一运行“闪电杀毒”,果然提示“已清除病毒体文件：D：＼WINDOWS＼SYSTEM32＼CID_STORE.DAT”（如图1）,还别说,机器的速度马上有了提升。     

Android系统隐藏技术及检测方法

Android木马通过获取系统root权限,修改内核表项实现隐藏功能,进而躲避木马查杀软件的检测。因此研究An-droid系统隐藏技术对于发现隐藏木马、提高查杀软件的检测能力有重要意义。文中在传统Linux系统隐藏技术的基础上,对Android系统服务启动过程进行分析,探究出适用于Android系统的隐藏方法,并实现了一种Android Rootkit木马原型,用于测试现有木马检测软件对该类型木马的检测能力。文中提出了针对此类Rootkit型木马的检测方法,实验证明这些方法对检测此类木马有一定的作用。     

自主式学习的木马检测预防系统的设计与实现

随着黑客攻击技术的不断进步,网络安全面临越来越严重的威胁。由于不能确保系统不被黑客攻击,也无法确定用户操作的文件或程序是否含有恶意的代码,因而,及时发现系统中存在的木马程序或者含有恶意代码的文件,是确保系统信息安全的重要途径。目前的许多木马检测软件仅能对已知的木马进行检测,对未知木马却无可奈何。文章在分析和综合当前木马检测技术的基础上,设计并实现了一个在Windows系统中行之有效的木马检测系统,不仅能有效检测已知的木马,还能对未知的木马进行有效的预防,通过对未知木马的特征进行自主式学习,并应用于检测,从而提高木马检测的功能。     

行为序列灰色模糊判定下计算机木马检测方法分析

计算机木马是隐藏在计算机里的恶意软件,需要进行清除,保证计算机的正常运行以及数据安全。计算机木马的判定比较困难,针对这一问题,提出了行为序列灰色模糊判定下计算机木马检测的方法。探讨具体判定方法,对计算机网络通信、开机启动、隐藏运行以及自我防护方面的木马程序进行检测,实现计算机正常程序和木马程序的有效区分。讨论检测木马的原理,为提高计算机安全性提供保障。     

一种启发式木马查杀模型的设计与分析

该文从特洛伊木马查杀模型的设计入手,引入了人工智能中的启发式分析技术,不但提供了对已知木马的查杀设计,还可以对未知木马进行启发式分析,最终实现对未知木马的判定和查杀。     

基于木马通信协议分析的Snort规则的制定

提出了基于木马snort规则的制定的思路,首先,搭建实验环境,分别对两台测试机器种上木马的客户端和服务器端,然后用Wireshark软件对木马客户端和服务器端的网络通信进行捕捉进行分析,并发现网络数据包可疑的特征,最后把发现可疑的特征制定成Snort规则,并用基于Windows的可视化入侵检测进行检测,从而能对已知的木马进行实时报警。     

采用行为分析的单机木马防护系统设计与实现

针对基于特征代码的静态木马检测技术的不足,通过实时监控程序的可疑行为,运用贝叶斯算法分析程序行为特征进而发现木马程序,并对恶意木马程序的非授权操作进行修复,设计并实现了一个基于行为分析的单机木马防护系统。实验表明：该木马防护系统在对检测率影响较小的前提下,显著降低了误报率。     

木马隐藏技术与防范方法

为加固网络安全、防范木马攻击,结合实例研究了一种木马隐藏技术,实现了基于加载三级跳和线程守护的隐藏技术,增强了木马的隐蔽性与抗毁性,并提出了该技术相应的防范措施和清除方法。实验结果表明,融入该隐藏技术的木马程序完成了预期的隐藏功能并可以穿透最新的瑞星杀毒软件、瑞星防火墙及硬件防火墙,表明了该隐藏技术的可行性与有效性。     

广义病毒的形式化定义及识别算法

恶意软件的定义是多年来安全领域的研究重点.恶意软件包括病毒、蠕虫和木马.目前仅有病毒的形式化定义,蠕虫、木马没有公认的形式化定义.按照传统病毒的定义,不存在准确识别病毒的算法.文中提出代码是否为病毒是相对于用户而言的,给用户带来损害的代码才是病毒.据此观点,文中以用户意愿为标准,将病毒区分为显式病毒、隐式病毒,并给出了显式病毒的形式化定义和识别算法.理论分析表明,传统病毒以及大部分木马、蠕虫均属于显式病毒,实际案例分析也证实了这一点.     

木马的伪装和免杀技术分析

首先介绍了木马技术的结构和基本功能,描述了木马的发展概况--它的五个发展阶段,及其未来的发展趋势.然后着重从更名换姓、文件捆绑、木马加壳、文件重组四个方面分析了木马的伪装技术.最后从加壳、修改特征码、加花指令、修改内存特征码等方面,分析和介绍了木马的免杀的技术.本文试图通过研究木马的攻击技术,找到防范的途径.     

基于直接操作内核对象的进程隐藏技术研究

分析直接操作内核对象和调用门的实现机制,提出通过使用调用门,在无驱动情况下提升用户程序的特权级,进而修改内核中的进程双向链表实现进程隐藏。设计并实现一个基于该思路的木马程序,在实验条件下验证该木马的隐蔽性和存活能力,分析应对该类型木马的检测策略。实验证明,该木马可以有效实现进程隐藏,躲过常见安全防护软件的检测与查杀。