第五章 影子程序（驱动）
　　
　　 什么是影子程序呢？影子大家都了解吧～～即然有影子当然也要有本体了，影子只是为了本体的存在而存在的，其它的工作一概不做。而影子程序呢？也就是为了木马程序的存在而存在的，其本身并不从事任何木马工作。
　　 木马为什么要搞一个影子程序或影子驱动呢？目的只有一个“保护主木马程序不被清除。”
　　 影子是如何来保护主木马程序的呢？了解这个之前，我们先要了解一下杀毒软件是如何杀毒的。　　
　　了解了杀毒软件是如何杀毒之后，再谈影子如何逃过杀毒软件的查杀，就容易理解了。
　　 大多数杀毒软件都是依赖病毒特征码杀毒的，所以都附带了一个病毒库，我们平时升级其实大多数是在升级病毒库，病毒库中存储了病毒的特征码，就像病毒档案一样（身高、体重、三围、五官等.....　^-^ 差不多类似啦）如果一个程序与病毒库中的某种病毒特征相吻合，就会被认为是某种病毒而被查杀。病毒特征是如何来的呢？就是病毒分析师对病毒进行分析后提取出来的，所以这种查杀方式查杀的都是有案底的，也就是以前犯过案的，被人留了底，再出来就是过街老鼠，人人喊打了。　　
　　 这种按特征查杀，属于硬特征，只要符合就OK了～～虽然有误杀，但相对很少，毕竟完全相同的并不多。其查杀的准确与否，误杀率是否高，很大程度依赖于病毒分析师的提取水平。呵呵，偶们就见过某知名公司把一个驱动框架硬是报为ROOTKIT木马的，显然其特征码存在严重问题。
　　 还有一种是所谓的主动防卸型的，在比照特征码的同时，还分析病毒木马的行为特征，一个程序的行为符合特定行为的数量多到一定数值，就为被认为是病毒，当然了，　这种误报率也相应的增加了很多。这种查杀，没案底也可以，就像你以前虽然没有犯过事儿，也没留案底，但你提着刀追着人家猛砍，当然也会被逮住的，因为你的行为符合了病毒的行为特征。
　　
　　 当前病毒的流行越来越大众化，想获取病毒源码也并不是什么难事，一些小屁孩也能抄一段来散发个病毒，但是却没有能力更改代码特征，使其躲过杀毒软件的查杀。
　　 所以，一些人开始拼命的找新壳，来为病毒加不同的壳，但杀毒软件的脱壳技术也是越来越高了，想找到不被杀毒软件所脱的壳也困难起来了。
　　 接着又有些人想出一些其它的方式来躲避杀毒软件的查杀。
　　 影子程序就是其中的一种～～
　　 病毒木马的主程序，因为要工作，所以一些特征是很难去掉的。但影子程序却不用去从事木马工作，所以它本质上就是一个正常的程序，不使用任何病毒技术，也不具备任何病毒特征，所以不会被杀毒软件查杀。
　　 这就是病毒木马采取影子程序的目的，因为影子程序不具备病毒特征，可以躲过杀毒软件的全盘文件扫描。
　　 那它又是如何来保护主程序的呢？一般它是把病毒主程序做为资源放到了自己里面，再保险点就对主程序压缩、加密后再以资源的形式放到自己的程序中。（资源就是一些数据啦～～比如，一个程序中用到的图片，就属于图片资源）而杀毒软件通常只是对代码进行检查，而不检查数据资源，其实查也查不出什么来～以纯数据形式存在的资源，有N种方法改变。
　　 这样，影子程序通过资源存放的方式，解决了木马程序在电脑中的生存问题，为木马在您的电脑中留下了一个火种。
　　 在木马病毒被清掉之后，影子程序一旦发现木马主程序不见了，就从自己的资源中重新释放一份。使木马病毒重新再生，使你杀不胜杀，直到杀得你心疲手软自己放弃为止。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点