最近有調查報告顯示，知名品牌的殺毒軟件對新型計算機病毒的查殺率只有20%，而漏殺率卻高達80%。那么是什么原因造成這種狀況的？到底是如今的病毒過于厲害，還是殺毒軟件的能力有限？今天我們就通過實例來看看是什么“刺瞎”了殺毒軟件的雙眼。

　　黑客姓名：于謙

　　黑客特長：免殺程序的制作

　　使用工具：MaskPE

　　使用工具：超級加花器

　　使用工具：Private exe Protector

　　黑客自白：由于木馬軟件都存在著“黑”特性，所以每當它們被公布出來不久，就會被殺毒軟件所查殺。為了避免這種情況的發生，我開始研究如何對黑客程序進行免殺，讓各種各樣的殺毒軟件在它們面前成為“睜眼瞎”。如何才能起到免殺效果

　　現在的殺毒軟件對任何病毒的查殺，都是建立在擁有該病毒的特征碼的基礎上的。黑客為了讓木馬程序不被殺毒軟件查殺，會通過各種方法對它進行修改或偽裝，也就是進行免殺處理。

　　目前常見的免殺方法有加殼、加花(指令)、修改特征碼、變換入口點、入口點加密等。同時當前主流的殺毒軟件都采用了復合特征碼，因此很多時候通過一種方法很難達到免殺效果，這時需要幾種方法配合才能起到免殺效果。實戰程序免殺一、免殺從程序內部開始

　　準備好我們要免殺的黑客程序。首先進行加密處理，運行加密程序MaskPE，它是一款自動修改PE文件的軟件，可以將程序原有的源代碼打亂，這樣就能生成免殺的木馬或病毒。

　　點擊“Load File”按鈕選擇免殺程序，在“Select Information”列表中任意選擇一項，最后點擊“Make File”按鈕，在彈出的窗口中對加密的文件進行另存即可。二、花指令迷惑殺毒軟件

　　運行“超級加花器”，這是一款全新的加花程序。首先將服務端程序直接拖動到程序的主界面進行釋放，接著在“花指令”下拉列表中選擇一種花指令，單擊“加花”按鈕后就可以了。這樣，一段花指令就被成功地添加到黑客程序代碼的最前面，那些從文件頭提取特征碼的殺毒軟件也就無能為力了。三、加殼阻止殺毒軟件分析

　　然后進行加殼處理，這樣可以阻止殺毒軟件將獲取的源代碼和特征碼進行比對。運行Private exe Protector這款加殼程序，在出現的“應用程序”列表中設置需要免殺的黑客程序。再將下面“設置”選項中將“動態保護”勾選上，最后點擊工具欄中的“開始保護”按鈕即可馬上進行加殼處理。

　　四、改入口點防特征碼對比

　　最后進行更改入口點的處理，它的目的和加殼處理相似，就是讓殺毒軟件無法從黑客程序的入口點來獲取源代碼。運行PEditor這款軟件修改程序，點擊“瀏覽”按鈕選擇黑客程序，找到“入口點”這個信息選項，接著在原來的數值的基礎上加上1，接著點擊“應用更改”按鈕就可以完成剛才的設置確認。

　　當黑客程序進行完免殺處理以后，首先要使用多款殺毒軟件對它進行殺毒檢測，沒有安裝殺毒軟件的用戶也可以通過一個多引擎樣本查毒網站進行檢測。

　　如果已經不被殺毒軟件所查殺了，還要在本地測試經過免殺處理后的程序是否能正常的運行。只有進行了這一系列測試以后，才能確定該黑客程序是否免殺成功。