免杀简史和杀毒软件基本工作原理

yaoqing

文章作者：duguyue100 [ESST]
信息来源：噩靈戰隊[Evil-Soul Security Team]（http://bbs.x-xox-x.com）
这两天买了本书，叫做《黑客免杀入门》，花了我31块大洋啊，感觉用这个弄一个教程挺不错的，不过前几节基本都是一些理论上的东西，所以我今天用我的语言先来阐释一下开头，就是免杀这项技术的简史和杀软的基本工作原理。思想上还是来自于这本书吧。
1.免杀
在这个世界上，攻与防是两个对立统一的事物，两者互相争斗，却又互相辅助发展。那么什么是免杀呢？就是反病毒（anti virus）和反间谍（anti Spyware)的对立阵营。不过我认为免杀在反反病毒（anti anti—virus）上是占主要的。我们为了保证我们的入侵活动和其他技术研究活动不被干扰，所以免杀技术应运而生。
历史：
1989年，世界上第一款杀毒软件MCAFEE的出现，标志着一对矛盾体的产生，那就是反病毒和反反病毒。
1997年，中国首款可以变异的病毒：千面人病毒的出现。标志着免杀的方法传入我国，其中的自动变异就是为了躲避杀毒软件的查杀，但是与现在的免杀定义有一些出入。
2002年7月31日，一个绝对值得纪念的日子。中国首款真正意义上的变种病毒“中国黑客II”出现，他除了具有新的特征之外，还实现了一些第一代所为实现的功能。
2004年，免杀工具ccl正式出现，这个强大的工具是tankaina写的，对我国的免杀事业起到了强大的推动作用。是国内黑客界第一款用于免杀的工具。
2005年2~7月，各大黑客论坛都在有意或无意的宣传，讨论关于免杀。这为以后木马免杀的火爆埋下根基。
2005年8月，第一个免杀动画由小野完成，标志着我国免杀事业彻底进入快车道。
2005年9月，免杀技术开始火起来。
从上面的时间关键点我们可以看出，我国真正意义上的免杀历史应该定位在2002年的7月。虽然起步较晚，但是我们的进步却不容忽视，到目前为止，已经追上世界上的免杀水平，彻底与反病毒真刀真枪的进行不懈的斗争和发展。
2.杀毒软件工作原理
首先，在杀毒软件和免杀技术的共同进步，就造成了两者开始逐步向系统底层进军的步伐。我们先解释一下什么是ring0。
intel的CPU将特权级别分为4层：分别是ring0，ring1，ring2，ring3。ring0是最低成，即所谓“内核层”。而ring3就是最靠近用户的“用户层”。
好了，这是发展的趋势，下面正式介绍杀软的工作原理。
一个完整的杀软应该包括扫描器、病毒库与虚拟机组成。
扫描器是杀软的核心，在杀软中有数个扫描器以保证效率。这是一种BFS（广度优先搜索）的方法，其实也不算，就算半BFS吧。
病毒库包含了每个病毒所独一无二的特征字符串，这些字符串就像我们的身份证一样，是绝对不会重复的。实现这个需要一个复杂的算法来保证生成的特征码是独一无二的。特征码又分为文件特征码和内存特征码。
虚拟机：依靠算法实现的一个新型的查毒手段。他依靠的是一种代码仿真技术。这种技术可以模拟出以一个与外部物理环境完全隔离的环境以执行所查文件。这是一个效率非常低的算法，因为在其中涉及到了一个庞大的switch（）语句，这个语句将对各个指令都执行一遍以判断是否为病毒。所以效率非常低。但是由于我们计算机的不断革新，虽然在计算过程中会慢上甚至上百倍，但是还是会很快执行结束的。
在这其中，杀毒软件一直围绕着扫描器与病毒库相互结合和新技术的不断挖掘使扫描技术不断更新以应对更加厉害的病毒。而在虚拟机上主要还是提高算法效率致使整个杀软的威力提高。
好了，今天简单的为大家介绍了最基本的一些知识，算是一个小型的教程吧。让大家了解一下我们的技术的源头。这是不背叛历史。而了解杀软就是要知己知彼，以达到能够对症下药的效果。