Webroot Antivirus

在2009年國際防毒軟體排名中，我們第一次看到了Webroot Antivirus的身影。

Webroot Antivirus號稱為最好的防病毒、防間諜軟體，其特性和優點如下：

Multi-layered Protection Against Threats and Intrusions--多層保護，抵禦威脅和入侵

Includes Spy Sweeper Antispyware Protection--反間諜軟體保護

Online Backup Protects Your Valuable Files--保護您的線上備份檔案

Access Files From Anywhere, Share With Anyone--存取檔案，隨時隨地與任何人分享

Proactive Real-time Threat Protection –"Zero-Hour" Protection--主動實時威脅防護-“零小時”保護

Safeguards Your Privacy and Personal Information--保障您的隱私和個人信息

Secures Your E-Mail--確保您的E-mail安全

Easy to Use--易於使用

Minimal Impact on Computer Performance--儘量不影響計算機的性能

Protection for the Latest 64-bit Vista PCs--保護最新的64位Vista電腦

FREE U.S.-based Customer Support--客戶支持

Satisfaction Guarantee--滿意度保證

此外 他還在近幾年來 在 VB100 AVC AVT 等等評測之中取得了相當好的成績

最新版本可以更好的支持Windows xp Windows 7 Windows vista 以及 Windows 8

軟體授權：共享版（收費）

軟體語言：只有英文

防毒軟體（Antivirus 或Antivirus software）使用於偵測、移除電腦病毒、電腦蠕蟲、和特洛伊木馬。防毒軟體通常集成監控識別、病毒掃描和清除和自動升級等功能，有的防毒軟體還帶有數據恢復等功能，是計算機防禦系統（包含防毒軟體，防火牆，特洛伊木馬和其他惡意軟體的查殺程式，入侵預防系統等）的重要組成部分。

防毒軟體的任務是實時監控和掃描磁碟。部分防毒軟體通過在系統添加驅動程式的方式，進駐系統，並且隨作業系統啟動。防毒軟體的實時監控方式因軟體而異。有的防毒軟體，是通過在記憶體里劃分一部分空間，將電腦里流過記憶體的數據與防毒軟體自身所帶的病毒庫（包含病毒定義）的特徵碼相比較，以判斷是否為病毒。另一些防毒軟體則在所劃分到的記憶體空間裡面，虛擬執行系統或用戶提交的程式，根據其行為或結果作出判斷。而掃描磁碟的方式，則和上面提到的實時監控的第一種工作方式一樣，只是在這裡，防毒軟體將會將磁碟上所有的（或者用戶自定義的掃描範圍內的檔案）做一次檢查。另外，防毒軟體的設計還涉及很多其他方面的技術。 脫殼技術，即是對壓縮檔案和封裝好的檔案作分析檢查的技術。自身保護技術，避免病毒程式殺死自身進程。 修復技術，對被病毒損壞的檔案進行修復的技術。

由於大量的防毒軟體的出現，以及防毒軟體病毒庫的不斷壯大，病毒被查殺的幾率也越來越大。所以有些病毒就開始通過加殼的方法來偽裝自己，企圖騙過防毒軟體，矇混過關。為了做好病毒防禦，我們就該了解什麼是加殼？加殼的對立面是不是脫殼？如何脫殼等？

計算機軟體里有一段專門負責保護軟體不被非法修改或反編譯的程式。它們一般都是先於程式運行，拿到控制權，然後完成它們保護軟體的任務，大家就把這樣的程式稱為“殼”了。從功能上抽象的講，軟體的殼和自然界中的殼相差無幾。無非是保護、隱蔽殼內的東西。而從技術的角度出發，殼是一段執行於原始程式前的代碼。原始程式的代碼在加殼的過程中可能被壓縮、加密……。當加殼後的檔案執行時，殼－這段代碼先於原始程式運行，他把壓縮、加密後的代碼還原成原始程式代碼，然後再把執行權交還給原始代碼。 軟體的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類，目的都是為了隱藏程式真正的OEP（入口點，防止被破解）。

作者編好軟體後，編譯成exe執行檔。有一些版權資訊需要保護起來，不想讓別人隨便改動，如作者的姓名，即為了保護軟體不被破解，通常都是採用加殼來進行保護。 加殼就需要把程式搞的小一點，從而方便使用。於是，需要用到一些軟體，它們能將exe執行檔壓縮。而在黑客界中“殼”則被用在保護病毒，給木馬等軟體加殼脫殼以躲避防毒軟體，給網民帶來很多的麻煩。

在好萊塢間諜電影裡，那些特工們往往以神奇莫測的化妝來欺騙別人，甚至變換成另一個身份，國內對於這種偽裝行為有個通俗的說法——“穿馬甲”。而這種正與邪的爭鬥已經延伸到了病毒領域，很多病毒作者通過給病毒“穿馬甲”、甚至穿多個“馬甲”的方式，躲避防毒軟體的查殺，這種技術就是“加殼”。 病毒作者可以通過給老病毒加殼，大批量製造出防毒軟體無法識別的新病毒。所謂加殼，是一種通過一系列數學運算，將可執行程式檔案或動態程式庫檔案的編碼進行改變（還有一些加殼軟體可以壓縮、加密驅動程式），以達到縮小檔案體積或加密程式編碼的目的。當被加殼的程式運行時，外殼程式先被執行，然後由這個外殼程式負責將用戶原有的程式在記憶體中解壓縮，並把控制權交還給脫殼後的真正程式。一切操作自動完成，用戶不知道也無需知道殼程式是如何運行的。一般情況下，加殼程式和未加殼程式的運行結果是一樣的。

既然加殼後的病毒不易被發現，那么如何判斷一個執行檔是否被加了殼呢？

有一個簡單的方法（對中文軟體效果較明顯）。用記事本打開一個執行檔，如果能看到軟體的提示信息則一般是未加殼的，如果完全是亂碼，則多半是被加殼的。我們還可以使用一款叫做Fileinfo的工具來查看檔案具體加的是什麼殼。較常見到的殼有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木馬彩衣”等等。

病毒加殼的原理很簡單，黑客營中提供的多數病毒中，很多都是經過處理的，而這些處理就是所謂的加殼。我們知道當一個普通的EXE程式生成好後，很輕鬆的就可以利用諸如資源工具和反彙編工具對它進行修改，但如果程式設計師給EXE程式加一個殼的話，那么至少這個加了殼的EXE程式就不是那么好修改了，如果想修改就必須先脫殼。病毒加殼後也是同樣的道理，我們也必須先為病毒脫殼。三 脫殼方法：

有很多加殼工具，既然有矛，自然就有盾，只要我們收集全常用脫殼工具，那就不怕病毒加殼了。脫殼主要是通過工具來脫殼。

1．檔案分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan,

2．OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid

3．dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE

4．PE檔案編輯工具PEditor，ProcDump32，LordPE

5．重建Import Table工具：ImportREC，ReVirgin

6．ASProtect脫殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid

（1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脫殼就行了

（2）ASProtect+aspack：次之，國外的軟體多用它加殼，脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識，但最新版現在暫時沒有辦法。

（3）Upx： 可以用UPX本身來脫殼，但要注意版本是否一致，用-D 參數

（4）Armadill： 可以用SOFTICE+ICEDUMP脫殼，比較煩

（5）Dbpe： 國內比較好的加密軟體，新版本暫時不能脫，但可以破解

（6）NeoLite： 可以用自己來脫殼

（7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE來脫殼

（8）Pecompat： 用SOFTICE配合PEDUMP32來脫殼，但不要專業知識

（9）Petite： 有一部分的老版本可以用PEDUMP32直接脫殼，新版本脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識。

（10）WWpack32： 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼，不過有時候資源無法修改，也就無法漢化，所以最好還是用SOFTICE配合PEDUMP32脫殼。