基于文件下载运行程序的免杀方法研究

摘　要：摘要 现有的杀毒软件越来越多的采用了启发式扫描和主动防御技术来对用户主机中病毒进行查杀，这些技术有效的提高了对病毒程序的检出率，但高误报率却成为了一个新的难题。针对当前杀软误报的现象，本文对基于文件下载运行程序的免杀方法进行了一系列研究，并对实际的出现误报的程序进行了免杀处理，免杀效果达到预期目标。

关键词：关键词：误报；文件下载；免杀处理

中图分类号：TP393     文献标识码：A    文章编号：
    1. 背景
    随着Internet的迅猛发展，当前网络环境正面临着越来越严峻的恶意软件的威胁。据360公司发布的 《2011-2012年度中国互联网安全报告》中数据指出[1]，2011年，国内日均约853.1万台电脑遭到木马病毒等恶意程序攻击，占每天开机联网的电脑比例约为5.7%，相比2010年增长48.0%。其中，1%-3%的电脑终端实际感染木马病毒，主要原因为部分木马利用游戏外挂、盗版软件、视频等诱惑性络资源伪装，欺骗用户关闭安全软件防护。在这样的网络环境下各大安全防护软件都进行了一系列病毒防护工作，从最开始的特征码扫描技术[2]到启发式扫描技术[2]、主动防御技术[3]以及云安全技术[4]。这一系列最新的防御措施虽然能够达到较高的病毒检出率，但是在误报率上也出现了较大问题，导致很多正常功能程序也会出现报警，影响到用户的正常使用。
    1  主要研究
    1.1. 误报原理
   杀毒软件出现对正常程序的误报情况可能有很多原因，在本文中主要关注的是由文件下载并执行的操作产生误报现象。网络中存在很多恶意程序其本身不是具有攻击用户主机能力的，其功能在于进入用户主机后在一个特定网站上下载预先放置的其他具有攻击性程序，如木马程序等，然后自动执行该下载下来的程序，从而实施进一步的攻击行为。因此这种从网上下载程序然后执行程序的软件行为被杀毒软件视为了一种具有严重威胁的行为，并将其作为恶意软件的代表行为加以检测。但是在实际的情况下，我们编写的很多程序都有可能具有与此类似的行为特征，因此如果杀毒软件简单的将此作为恶意软件的判定方法就会造成误报。
    1.2. 研究目的
    由于很多杀毒软件都会对上一节中描述的行为进行报警，而在我们平时编写程序时又难免会有对类似功能的需求，因此本文就如何对该类程序进行免杀进行了研究，并总结出一套基于文件下载执行程序的免杀方法。
    1.3. 研究对象
    在本文中，笔者首先编写了一个简单的测试程序，其功能为从指定的网络服务器上下载特定可执行文件，然后立即执行。程序关键的代码摘要如下表 2 1所示：
   表 2-1 测试程序关键代码

该程序在系统中执行后会被360杀毒软件报警为木马程序。后面将以此示例程序为例进行免杀处理。
    1.4. 免杀方法
    为了做到该类程序的免杀处理，本文中解决方法是隔离下载文件操作和程序执行操作。通过程序测试得到，如果一个程序中只进行文件下载操作或者只执行一个本地文件的操作都不会被杀毒软件判定为病毒。因此可以推断，杀软在病毒检测时将这两个操作进行了关联，那么要做到免杀就只用解除这两个操作的关联即可。
    本文中采取的解决方法是在下载文件后加载一个dll，然后直接退出。dll放在当前目录下，其中包含了运行指定文件的代码，指定文件名为从网络下载下来的可执行文件名。通过这种方法我们可以看到这两个功能就被分隔到两个不同的文件中，一个是可执行文件，一个是dll文件。这样杀毒软件就很难将这两个存在于不同文件中的功能结合起来进行分析，从而达到了对此类程序的免杀处理。
    此种方法的实现也相对简单，编程时新建一个dll工程，将执行文件部分代码转移到dll文件中，将编译得到的dll文件放置在可执行程序的当前目录下，然后在原程序中去掉执行文件代码，并用LoadLibrary函数加载该dll即可。
    2. 结果分析
    将修改过的程序和dll文件放置在相同目录下运行，程序完成相同的功能，而且没有被杀毒软件报警为木马程序。该结果说明本方法对该类程序的免杀效果很好，能够很好的避免文件下载执行类程序被杀毒软件误杀的情况。
    再次分析该免杀方法，我们可以进一步总结出对其他类似误报现象免杀处理的方法。杀软在进行行为监控时，很多情况下都是将几种敏感操作联系起来，如果发现了一系列可疑操作的特定组合，就将其判定为可疑程序加以报警。对于这一类情况出现的误报，我们都可以用类似的方式进行免杀处理，即将几种有联系的操作分散开，如利用本文中的方法，运用dll将不同操作分散到不同文件中，从而绕过杀软的查杀，达到免杀目的。
参考文献：
[1]  360安全中心.2011-2012年度中国互联网安全报告.2012,2
[2]  向林泓.主动防御技术的研究和实现（硕士学位论文）.成都:电子科技大学.2011,5
[3]  谢柏林，余顺争. 基于应用层协议分析的应用层实时主动防御系统.计算机学报，2011,34(3):452-463
[4]  任翔.基于云安全技术的防病毒软件商业模式的分析与研究（硕士学位论文）.北京，北京邮电大学.2011,5