“我花了几百元买的正版杀毒软件对有些病毒为何视而不见？”许多电脑用户常常无奈地发出这样的抱怨。产生这种现象的原因在于，大量的病毒木马采用了黑客研究的免杀技术，从而逃避杀毒软件查杀。有关专家指出，随着电脑互联网的飞速发展，病毒与反病毒之间的较量将逐年升级，相应地，电脑及互联网安全正在遭受严峻的考验。如何破解层出不穷的病毒免杀技术，成为众多电脑安全专家工作的重点。

      ●“隐身木马”窃取私人信息

     
        目前，潜伏在互联网上的各类病毒木马让人们的恐惧心理日益加重，其中许多病毒木马采用了免杀技术，使一些杀毒软件形同虚设，由此给用户造成的损失也在无形中增加。

     
       微点主动防御软件日前捕获了一对名为Ｒｏｏｔｋｉｔ．Ｗｉｎ３２．Ｄｅｌｆ．ｌ和Ｔｒｏｊａｎ－ＰＳＷ．Ｗｉｎ３２．Ｄｅｌｆ．ｅｖｅ的盗号木马病毒，他们可同时将用户的ＱＱ号码、网游账号、银行密码、邮箱密码等私人信息一并盗取，这两个木马病毒都采用了一种名为Ｒｏｏｔｋｉｔ的免杀技术，实现了“视觉隐藏”，使得普通电脑用户基本无法查找到木马程序文件，用户从键盘输入的所有密码信息均有被盗取的危险。

     
        微点反病毒专家田亚葵介绍，这两个木马病毒极为狡猾，其所用的Ｒｏｏｔｋｉｔ驱动文件采用随机产生的可变文件名，以此来恶意干扰用户进行识别，受到Ｒｏｏｔｋｉｔ视觉隐藏技术保护的盗号木马程序Ｔｒｏｊａｎ－ＰＳＷ．Ｗｉｎ３２．Ｄｅｌｆ．ｅｖｅ，即使利用ＷＩＮＤＯＷＳ的文件夹功能进行查找、选择“显示所有文件”等方法，依然无法看到该木马程序，从而实现了木马程序视觉上的完全隐身。对于此类有Ｒｏｏｔｋｉｔ保护的盗号木马，分析和清除的难度加大，一般用户基本无法通过手工进行清除。

     
        目前，各类采用免杀技术的病毒木马数量难以统计。据金山毒霸２００７年上半年互联网安全报告显示，２００７年上半年金山毒霸共截获新增病毒样本超过１１万种，比去年同期增加了２３％。金山反病毒技术工程师李铁军介绍，其中有相当数量的木马病毒采用了免杀技术，此类“免杀病毒木马”泛滥是导致用户网络隐私信息遭遇威胁的一个主要原因。

     
       正是由于“免杀病毒木马”具有高度的隐蔽性，入侵后用户毫无察觉，给黑客盗取用户私人信息提供了有利条件。黑客往往通过邮件、ＩＭ工具以及网页挂马等方式将大量带有免杀技术的木马病毒植入用户电脑，进而获得用户电脑的控制权，接下来就可以对用户电脑内的私人信息为所欲为。

      ●免杀技术形形色色

     
         其实，微点主动防御软件捕获的利用Ｒｏｏｔｋｉｔ手段来保护自身的木马病毒只是众多免杀病毒木马中的一例。近期在业界知名度比较高的灰鸽子、ＡＶ终结者等都采取了不同的免杀技术。

     
        微点反病毒专家田亚葵介绍，黑客研究病毒木马的免杀技术大体可以分为两个发展阶段：第一阶段实际上是在躲避杀毒软件的“追杀”，技术核心是以躲避为主，免杀手段主要包括加壳、添花指令、Ｒｏｏｔｋｉｔ技术等；进入第二个阶段，免杀病毒已经不仅仅停留在单纯躲避杀毒软件的层面，而是针对杀毒软件进行专门的程序编写，以各种技术手段停止或者“杀掉”杀毒软件。

     
        那么，免杀病毒木马究竟是如何对抗安全软件的查杀呢？微点反病毒专家向记者介绍了几种常用的手段。比如：给病毒程序加壳、添花指令，这些其实都是通过其他工具对病毒程序修改外表，来达到安全软件无法查杀的目的，就像给病毒程序穿上一件衣服，杀毒软件在扫描时，无法识别其是好还是坏。

     
       还有一种就是使用Ｒｏｏｋｉｔ技术，通过服务加载使病毒程序达到隐藏的目的。所谓服务加载，通俗地讲，指的就是启动的时间较早，因为启动时间决定谁进入系统比较快。如果病毒程序早于杀毒软件启动，就会出现杀毒软件报警，但却无法清除的现象。

      另外，还有一些免杀技术是设法通过修改系统时间造成杀毒软件过期，而无法监控，或者通过一些特殊命令结束杀毒软件的运行，使其无法监控。

     
        值得注意的是，映像劫持是目前比较流行的病毒免杀技术。这种技术是通过修改注册表来进行操作的，病毒可以使程序自动“转向”，打个比方：比如用户要运行“杀毒软件．ＥＸＥ”程序时，病毒会通过映像劫持的“转向”功能，使得用户实际上运行的却是“病毒．ＥＸＥ”，这让用户很难察觉。

      ●斩断免杀技术传播渠道

      目前，黑客们一方面在大力研究各类免杀技术，同时还在积极利用互联网的便利条件，拓展传播免杀技术。

     
        近日，一项有关“２００７年黑客行为分析”的调查报告显示，２００７年黑客行为呈明显上升趋势，有近四成以上的黑客正在研究免杀病毒技术，研制免杀病毒和在互联网交流免杀技术已经成为黑客们最为热衷、追捧的行为。

        金山反病毒技术工程师李铁军向记者介绍，目前，互联网上许多网站公开打出广告，宣称教授黑客课程，用户可以在搜索引擎上轻易检索出成千上万个相关网站。

     
        记者根据线索登录一家网站，发现这家网站给自己套上“黑客基地”的光环，宣称“长期收徒，主要教灰鸽子、抓鸡、木马制作、网站入侵、网站挂马、木马脱壳、免杀、捆绑服务器的制作与维护、网吧安全与入侵等，承接各类黑客业务”。记者与网站管理员取得联系，这位管理员告诉记者，只要向指定账号打入几百到数千元不等的学费，就可以学习到不同档次的课程，如果要专门学习免杀技术可以单独教授。

      有关专家指出，针对黑客免杀技术泛滥互联网的现象，有关部门应加强互联网监管，这是斩断黑客传播免杀技术的有效途径之一。