网络病毒分析

1、17:33:321网络与信息安全技术计算机病毒分析17:33:3221 计算机病毒的状态n计算机病毒在传播过程中存在两种状态，即静态和动态q静态病毒，是指存在于辅助存储介质中的计算机病毒，一般不能执行病毒的破坏或表现功能，其传播只能通过文件下载(拷贝)实现q因为静态病毒尚未被加载、尚未进入内存，不可能获取系统的执行权限q病毒之所以处于静态，有两种可能n没有用户启动该病毒或运行感染了该病毒的文件n该病毒存在于不可执行它的系统中q当病毒完成初始引导，进入内存后，便处于动态。动态病毒本身处于运行状态，通过截流盗用系统中断等方式监视系统运行状态或窃取系统控制权。病毒的主动传染和破坏作用，都是动态病毒的

2、“杰作”17:33:3231 计算机病毒的状态n计算机病毒的基本流程与状态转换q病毒由静态转变为动态的过程，称为病毒的启动。实际上，病毒的启动过程就是病毒的首次激活过程q内存中的动态病毒又有两种状态：可激活态和激活态。n当内存中的病毒代码能够被系统的正常运行机制所执行时，动态病毒就处于可激活态n一般而言，动态病毒都是可激活的n系统正在执行病毒代码时，动态病毒就处于激活态n病毒处于激活态时，不一定进行传染和破坏；但进行传染和破坏时，必然处于激活态n对于处于不同状态的病毒，应采用不同的分析、清除手段17:33:3241 计算机病毒的状态计算机病毒的基本流程与状态转换计算机病毒的基本流程与状态转换动

3、态病毒静态病毒引导加载，设置激活、触发条件病毒感染病毒破坏满足激活条件？满足破坏条件？满足满足潜伏或消散不满足可激活态激活态满足感染条件？不满足满足不满足17:33:3352 计算机病毒的基本环节n计算机病毒要完成一次完整的传播破坏过程，必须经过以下几个环节：q分发拷贝阶段q潜伏繁殖阶段q破坏表现阶段n在任何一个环节(阶段)都可以抑制病毒的传播、蔓延，或者清除病毒n我们应当尽可能地在病毒进行破坏性攻击之前切断病毒传染源、抑制病毒的传播蔓延17:33:336病毒的目的n快速传染n隐藏自己n变形17:33:337病毒感染的一般过程 计算机病毒的感染过程与生物学病毒的感染过程非常相似，它寄生在宿主程

4、序中，进入计算机，并借助操作系统和宿主程序的运行，复制自身，大量繁殖。计算机病毒感染的一般过程为： 当计算机运行染毒的宿主程序时，病毒夺取控制权。 寻找感染的突破口。 将病毒程序嵌入感染目标中。17:33:338文件型病毒传染原理和特征感染方式1感染方式2病毒代码HOST程序代码HOST程序代码头病毒代码HOST程序代码头HOST程序代码HOST程序代码头HOST程序代码感染MZ文件头PE/NE文件头感染前的程序MZ文件头(修改后)PE/NE文件头(修改后)感染前的程序病毒代码17:33:339核心态与用户态n操作系统代码、设备驱动程序代码使用特权级0(Ring 0)，工作于系统核心态n普通的

5、用户程序使用特权极3(Ring 3) ，工作在用户态Win32应用程序Win32子系统动态连接库Ntdll.dll内存、进程、线程、IO等管理核心体设备驱动程序硬件抽象层(HAL)用户态(Ring 3)核心态(Ring 0)Win32应用程序Windows 2000/XP下下普通应用程序普通应用程序对核心态功能的对核心态功能的调用示意调用示意17:33:3310获取API函数地址qWin32程序一般运行在Ring 3级，处于保护模式qWin32下的系统功能调用，不是通过中断实现，而是通过调用动态连接库中的API函数实现qWin32 PE病毒和普通Win32 PE程序一样需要调用API函数实现某

6、些功能，但是对于Win32 PE病毒来说，它只有代码节，并不存在引入函数节q病毒就无法象普通PE程序那样直接调用相关API函数，而应该先找出这些API函数在相应DLL中的地址17:33:3311搜索感染目标文件n搜索文件是病毒寻找目标文件的非常重要的功能n在Win32汇编中，通常采用如下几个API函数进行文件搜索qFindFirstFilen根据文件名查找文件qFindNextFilen根据调用FindFirstFile函数时指定的一个文件名查找下一个文件qFindClosen用来关闭由FindFirstFile函数创建的一个搜索句柄17:33:3312病毒感染技术n感染是一个病毒赖以长期存活

7、的根本，所以要大规模的搜索，感染感染再感染！nFindFirstFile，FindNextFile，FindClose，除非你hook了某些系统API（参考Win32.Kriz)，否则这三个API是Win32病毒必备的、搜索再搜索，感染再感染。n目前Win32病毒分为两个主流，一类最常见，覆盖host程序最后一个section的relocation，或者干脆直接缀在最后一个section后面，把它扩大一些。这种技术很简单，例子可参见Funlove，有着复杂的polymorphism引擎，体积比较大的病毒一般也都用这种技术。n第二类就是像Elkern那样把自己尽可能地插进host体内，尽可能地插

8、，对于VC编译出来的PE文件，它的file alignment是4K，所以section之间的空隙加起来很可能有4，5K，足可以容下一个Win32病毒。这种技术比较麻烦一些，调试也复杂，主要流行的有Elkern。17:33:3313蠕虫传染原理17:33:3314蠕虫与漏洞n网络蠕虫最大特点是利用各种漏洞进行自动传播n根据网络蠕虫所利用漏洞的不同，又可以将其细分q邮件蠕虫n主要是利用MIME(Multipurpose Internet Mail Extension Protocol，多用途的网际邮件扩充协议)漏洞包含蠕虫的邮件非法的MIME头部解出的蠕虫程序感染机器Content-Type:

9、audio/x-wav; name=worm.exeContent-Transfer-Encoding: base64TVrozAAAAAYAAQACAHhNVHJrAAAIBQD/AwiT8ZBsgsyOng/AgdLT05BTUkgAP8BD5XSi8iBXorikeORvphZCgD/fwMAAEEA8ApBEEISQAB/AEH3AP9YBAQCGAgA/1kCAAAA/1EDB0Deg2r/UQMHUwCDJP9RAwdiH4Mu/1EDB3F9gy7/UQMHgRuDJP9RAweQ/IMu/1EDB6Eggy7/UQMHsYqDJP9RAwMIME描述漏洞描述漏洞17:33:33

10、15蠕虫与漏洞q网页蠕虫（木马）n主要是利用IFrame漏洞和MIME漏洞n网页蠕虫可以分为两种q用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法q用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播q系统漏洞蠕虫n利用RPC溢出漏洞的冲击波、冲击波杀手n利用LSASS溢出漏洞的震荡波、震荡波杀手n系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去n它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫17:

11、33:3316蠕虫的工作方式与扫描策略n蠕虫的工作方式一般是“扫描攻击复制”随机生成IP地址有些蠕虫给出确定的地址范围，还有一些给出倾向性策略，用于产生某个范围内的IP地址地址探测主机是否存在?漏洞是否存在?攻击、传染现场处理虚线框内的所有工作可以在一个数据包内完成是是否否17:33:3317蠕虫的工作方式与扫描策略n蠕虫的扫描策略q现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中q扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描q没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞n对扫描策略的改进q在IP地

12、址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描q对扫描次数进行限制，只进行几次扫描q把扫描分散在不同的时间段进行17:33:3318蠕虫的工作方式与扫描策略n蠕虫常用的扫描策略q选择性随机扫描(包括本地优先扫描)q可路由地址扫描(Routable Scan)q地址分组扫描(Divide-Conquer Scan)q组合扫描(Hybrid Scan)q极端扫描(Extreme Scan)17:33:3319感染的主机数与感染强度示意图感染强度感染的主机数慢启动阶段缓消失阶段快速传染阶段17:33:3320木马的传染方式17:33:3321特洛伊

13、木马的定义n特洛伊木马(Trojan Horse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息n古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗(哄骗，Spoofing)等手段进入被攻击的计算机系统中，窃取信息，实施远程监控17:33:3322特洛伊木马的定义n木马与病毒q一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的q特洛伊木马主要是根据它的

14、有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的q木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中q木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类n木马的最终意图是窃取信息、实施远程监控n木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性17:33:3323特洛伊木马的结构n木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成配置控制响应木马程序配置程

15、序控制程序木马服务器木马控制端(客户端)17:33:3324特洛伊木马的基本原理n运用木马实施网络入侵的基本过程木马信息控制端Internet服务端配置木马传播木马运行木马信息反馈建立连接远程控制17:33:3325特洛伊木马的基本原理n用netstat查看木马打开的端口6662676267021096ESTABLISHEDLISTENING:ProtoLocal AddressForeign AddressState TCP TCP服务端IP地址木马端口控制端IP地址控制端端口连接状态：连接已建立等待连接17

16、:33:3326特洛伊木马的基本原理n木马控制端与服务端连接的建立q控制端要与服务端建立连接必须知道服务端的木马端口和IP地址q由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的IP地址q获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描17:33:3327特洛伊木马的基本原理木马控制端与服务端连接的建立木马控制端与服务端连接的建立17:33:3428特洛伊木马的基本原理n木马通道与远程控制q木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道q控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同

17、本地操作控制端程序木马程序10966267控制端服务端窃取密码文件操作修改注册表系统操作17:33:3429特洛伊木马的基本原理n木马的基本原理q特洛伊木马包括客户端和服务器端两个部分，也就是说，木马其实是一个服务器-客户端程序q攻击者通常利用一种称为绑定程序(exe-binder)的工具将木马服务器绑定到某个合法软件上，诱使用户运行合法软件。只要用户运行该软件，特洛伊木马的服务器就在用户毫无察觉的情况下完成了安装过程q攻击者要利用客户端远程监视、控制服务器，必需先建立木马连接；而建立木马连接，必需先知道网络中哪一台计算机中了木马q获取到木马服务器的信息之后，即可建立木马服务器和客户端程序之间

18、的联系通道，攻击者就可以利用客户端程序向服务器程序发送命令，达到操控用户计算机的目的17:33:3430特洛伊木马的传播方式n木马常用的传播方式，有以下几种：q以邮件附件的形式传播n控制端将木马伪装之后添加到附件中，发送给收件人q通过OICQ、QQ等聊天工具软件传播n在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方q通过提供软件下载的网站(Web/FTP/BBS)传播n木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马q通过一般的病毒和蠕虫传播

19、q通过带木马的磁盘和光盘进行传播17:33:3431特洛伊木马技术的发展n木马的发展及成熟，大致也经历了两个阶段qUnix阶段qWindows阶段n木马技术发展至今，已经经历了4代q第一代木马n只是进行简单的密码窃取、发送等，没有什么特别之处q第二代木马n在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马的典型代表之一q第三代木马n在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度q第四代木马n在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(Process Sta

20、tus API)，实现木马程序的隐藏17:33:3432U盘病毒的特点n随着U盘等移动存储介质使用的越来越广泛，它已经成为木马、病毒等传播的主要途径之一。nU盘病毒，并不是单指某一种病毒，也不是说只是通过U盘传播的病毒，而是泛指所 有通过移动存储介质进行传播的病毒q事实上它可以通过系统上所有的分区进行传播,只是因为很多 时候它们都表现在U盘上，所以我们才统称这些病毒为U盘病毒 n目前U盘病毒传播的方式主要有以下几种：q1、通过autorun.inf文件进行传播的(目前U盘病毒最普遍的传播方式） q2、伪装成其他文件，病毒把U盘下所有文件夹隐藏，并把自己复制成与原文件夹名称相同的具有文 件夹图标

21、的文件，当你点击时病毒会执行自身并且打开隐藏的该名称的文件夹。q 3、通过可执行文件感染传播，很古老的一种传播手段，但是依然有效。 17:33:34331.关键文件关键文件Autorun.infnAutorun.inf文件本身并不是病毒，它是自动运行的一个配置文件。这个文件通常在驱动器的根目录下(是一个隐 藏的系统文件)，文件的内容包含着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路 径下的图标，它的格式通常是下面这样： qAutoRun open=auto.exe /自动运行auto.exe程序 shellexecute=au

22、to.exe/启动指定的auto.exe shellAutocommand=auto.exe/定义设备右键菜单执行命令行，右键U盘的时候会出现auto菜单17:33:34341.关键文件关键文件Autorun.infn由于windows系统中的自动播放功能默认情况下是处于未配置的状态。这就使得只要在机器上接入移 动的存储介质，就会自动的播放。这个原因也是导致U盘病毒传播的一个最主要的因素。n我们只要在 U盘的根目录下建立autorun.inf文件和某些特定的执行程序，并把执行程序的路径和名字写到 autorun.inf文件中，就可以在U盘插入系统后自动运行该执行文件，而这些执行程序可以是任何我

23、们想 要它运行程序（病毒、木马、灰色软件等等）。 17:33:3435解决办法解决办法 -1n1、关闭“Shell Hardware Detection”服务，关闭这个服务后再放入光盘或U盘时系统将不再扫描 这些移动介质的内容，也就不会运行Autorun.inf中所配置的文件了。n关闭服务的方法如下： 单击开始菜单的运行，输入“services.msc”（也可以通过点击开始-设置-控制面板-管理工具 -服务）来打开服务窗口，在窗口右侧显示的内容中找到“名称”列，在“名称”列里找到 “Shell Hardware Detection”（可以随便单击一下“名称”列里的内容，再按键盘上的S键，快速

24、地定位），单击右键，再单击属性弹出属性对话框，先选择停止，然后在常规选项卡里的“启动 类型(E)”右边的下拉菜单中选择“已禁用”，最后确定退出，重启计算机即可。 17:33:3436解决办法解决办法 -2n2、关闭windows的自动播放功能，方法如下： 在开始、运行中输入gpedit.msc后回车。会出现组策略的控制窗口，在该窗口中选择 计算机设置-管理模板-系统-关闭自动播放，双击关闭自动播放，然后选择已启用，选择关闭所 有驱动器。 17:33:3437解决办法解决办法 -3n3、修改注册表来禁止自动播放，方法如下： 在开始运行中输入regedit.exe后回车，调出注册表编辑器，定位到

25、HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer 进行修改。 NoDriveTypeAutoRun 指定按设备类型禁止自动播放。 1：未知类型，4：可移动磁盘，8：硬盘，10：网络驱动器，20：光驱，40：RAM驱动器，80： 未知类型，FF：所有类型。若要禁止某一类型自动播放，直接使用对应的值，若要禁止几种类型， 则使用它们数值相加的值，如95=1+4+10+80，91=1+10+80， b5=1+4+10+20+80。 NoDriveAutoRun指定按盘符禁止自动播放。相关设置可以参

26、考NoDrives值，最大值为 hex:ff,ff,ff,03，禁止所有盘自动播放。 17:33:34382.披着各种伪装的披着各种伪装的U盘病毒盘病毒 nU盘原来存在的文件夹全部被隐藏，取而代之的是一个伪装成文件夹图标的EXE文件。 n因为操作系统缺省情况下，并不显示已知文件类型的文件扩展名，也就是说类似于“我的工作报告.exe”的程序，缺省情况下我们只看到“我的工作报告”，并且这个文件看上去就是个文件夹，很多人就会去直接双击访问。n又是Windows 缺省设置在帮助病毒传播者欺骗用户，缺省情况下windows 不显示文件扩展名。 nU盘病毒伪装者利用社会工程学成功的入侵了超过50万台PC。

27、17:33:3439解决办法n如果你修改了文件夹选项，配置了显示文件的扩展名，这个文件夹伪装者就会露出真面目 17:33:3440病毒高级技术17:33:3441驻留在内存n为了生存，病毒要尽可能长时间地驻留在内存中，而不是host程序一结束就完蛋了。n有三种种方法，一是象Funlove那样在系统目录里释放一个文件，并修改注册表或者建立一个系统服务。这种方式很普通，也很普遍，大多数病毒包括蠕虫都这么干。n另一种方式则是感染所有的已运行进程。在Win2K下很容易实现,CreateRemoteThread，但要想在所有Win32平台下实现，则要比较高的技巧。n工作在ring 0病毒，内核模式病毒。

28、17:33:3442内核模式病毒nWindowsNT/2K环境下第一个以内核模式驱动程序运行，并驻留内存的寄生型病毒是Infis.nInfis作为内核模式驱动程序驻留内存，并且挂钩文件操作，它能够在文件打开时立即感染该文件。n安装程序把病毒拷贝到系统内存中，并在系统注册表中添加该病毒的注册项。该病毒把自己的可执行代码连同自己的PE文件头一起追加到目标文件的末尾，然后从自己代码中提取出一个名为INF.SYS的独立驱动程序，把这个程序保存在%SystemRoot% system32 drivers目录下，修改注册表，保证下一次系统启动时病毒也能够进入运行状态。17:33:3443检测方法n检查系统

29、驱动程序列表中已经装入的驱动程序的名称，如果在驱动程序列表中发现了病毒驱动程序，说明基本上感染了病毒n病毒可能使用隐藏技术避免在驱动程序列表中出现，需要通过计算机管理器中的驱动程序列表。17:33:3444病毒的隐藏技术n隐藏是病毒的天性，在业界对病毒的定义里，“隐蔽性”就是病毒的一个最基本特征，任何病毒都希望在被感染的计算机中隐藏起来不被发现，因为病毒都只有在不被发现的情况下，才能实施其破坏行为。为了达到这个目的，许多病毒使用了各种不同的技术来躲避反病毒软件的检验，这样就产生了各种各样令普通用户头痛的病毒隐藏形式。 n隐藏窗口 & 隐藏进程 & 隐藏文件 q桌面看不到q任务管

30、理器中不可见 q文件中看不到17:33:3445进程隐藏nWindows 9x中的任务管理器是不会显示服务类进程，结果就被病毒钻了空子，病毒将自身注册为“服务进程”，可以躲避用户的监视。nWindows2000/xp/2003等操作系统上已经无效了，直接使用系统自带的任务管理器便能发现和迅速终止进程运行 。17:33:3446通过DLL实现进程隐藏nWindows系统的另一种“可执行文件”-DLL，DLL文件没有程序逻辑，是由多个功能函数构成，它并不能独立运行，一般都是由进程加载并调用的。 n运行DLL文件最简单的方法是利用Rundll32.exe，Rundll/Rundll32是Window

31、s自带的动态链接库工具，可以用来在命令行下执行动态链接库中的某个函数，Rundll32的使用方法如下：Rundll32 DllFileName FuncName例如我们编写了一个MyDll.dll，这个动态链接库中定义了一个MyFunc的函数，那么，我们通过Rundll32.exe MyDll.dll MyFunc就可以执行MyFunc函数的功能。假设我们在MyFunc函数中实现了病毒的功能，那么我们不就可以通过Rundll32来运行这个病毒了么？在系统管理员看来，进程列表中增加的是Rundll32.exe而并不是病毒文件，这样也算是病毒的一种简易欺骗和自我保护方法 17:33:3447特洛伊

32、DLL n特洛伊DLL的工作原理是使用木马DLL替换常用的DLL文件，通过函数转发器将正常的调用转发给原DLL，截获并处理特定的消息。n例如，我们知道WINDOWS的Socket1.x的函数都是存放在wsock32.dll中的，那么我们自己写一个wsock32.dll文件，替换掉原先的wsock32.dll（将原先的DLL文件重命名为wsockold.dll）我们的wsock32.dll只做两件事，一是如果遇到不认识的调用，就直接转发给wsockold.dll（使用函数转发器forward）；二是遇到特殊的请求（事先约定的）就解码并处理。这样理论上只要木马编写者通过SOCKET远程输入一定的暗

33、号，就可以控制wsock32.dll（木马DLL）做任何操作 17:33:3448动态嵌入技术 nDLL木马的最高境界是动态嵌入技术，动态嵌入技术指的是将自己的代码嵌入正在运行的进程中的技术。n理论上来说，在Windows中的每个进程都有自己的私有内存空间，别的进程是不允许对这个私有空间进行操作的，但是实际上，我们仍然可以利用种种方法进入并操作进程的私有内存n存在多种动态嵌入技术中：窗口Hook、挂接API、远程线程 17:33:3449远程线程技术n远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。n在进程中，可以通过CreateThread函数创建线程，被创

34、建的新线程与主线程（就是进程启动时被同时自动建立的那个线程）共享地址空间以及其他的资源n通过CreateRemoteThread也同样可以在另一个进程内创建新线程，被创建的远程线程同样可以共享远程进程的地址空间，所以，实际上，我们通过一个远程线程，进入了远程进程的内存地址空间，也就拥有了那个远程进程相当的权限。n这种病毒难以处理。 17:33:3450文件隐藏n早期，把病毒文件属性设为隐藏，修改文件不显示隐藏文件。n高级阶段通过HOOK文件读取函数，自动隐藏病毒文件。n公开的主流检测隐藏文件主要有两种方法：第一种是文件系统层的检测，属于这一类的有Ice sword，darkspy，gmer等。

35、n第二种便是磁盘级别的低级检测（Disk Low-Level Scanning），属于这一类的ark也很多，典型代表为rootkit unhooker，filereg（is的插件），rootkit revealer，blacklight等。17:33:3451加壳n木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。n要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀。n除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的