Webroot Antivirus

在2009年國際殺毒軟件排名中，我們第一次看到了Webroot Antivirus的身影。

Webroot Antivirus號稱為最好的防病毒、防間諜軟件，其特性和優點如下：

Multi-layered Protection Against Threats and Intrusions--多層保護，抵禦威脅和入侵

Includes Spy Sweeper Antispyware Protection--反間諜軟件保護

Online Backup Protects Your Valuable Files--保護您的在線備份文件

Access Files From Anywhere, Share With Anyone--存取檔案，隨時隨地與任何人分享

Proactive Real-time Threat Protection –"Zero-Hour" Protection--主動實時威脅防護-“零小時”保護

Safeguards Your Privacy and Personal Information--保障您的隱私和個人信息

Secures Your E-Mail--確保您的E-mail安全

Easy to Use--易於使用

Minimal Impact on Computer Performance--儘量不影響計算機的性能

Protection for the Latest 64-bit Vista PCs--保護最新的64位Vista電腦

FREE U.S.-based Customer Support--客户支持

Satisfaction Guarantee--滿意度保證

此外 他還在近幾年來 在 VB100 AVC AVT 等等評測之中取得了相當好的成績

最新版本可以更好的支持Windows xp Windows 7 Windows vista 以及 Windows 8

軟件授權：共享版（收費）

軟件語言：只有英文

殺毒軟件（Antivirus 或Antivirus software）使用於偵測、移除電腦病毒、電腦蠕蟲、和特洛伊木馬。殺毒軟件通常集成監控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟件還帶有數據恢復等功能，是計算機防禦系統（包含殺毒軟件，防火牆，特洛伊木馬和其他惡意軟件的查殺程序，入侵預防系統等）的重要組成部分。

殺毒軟件的任務是實時監控和掃描磁盤。部分殺毒軟件通過在系統添加驅動程序的方式，進駐系統，並且隨操作系統啓動。殺毒軟件的實時監控方式因軟件而異。有的殺毒軟件，是通過在內存裏劃分一部分空間，將電腦裏流過內存的數據與殺毒軟件自身所帶的病毒庫（包含病毒定義）的特徵碼相比較，以判斷是否為病毒。另一些殺毒軟件則在所劃分到的內存空間裏面，虛擬執行系統或用户提交的程序，根據其行為或結果作出判斷。而掃描磁盤的方式，則和上面提到的實時監控的第一種工作方式一樣，只是在這裏，殺毒軟件將會將磁盤上所有的（或者用户自定義的掃描範圍內的文件）做一次檢查。另外，殺毒軟件的設計還涉及很多其他方面的技術。 脱殼技術，即是對壓縮檔案和封裝好的文件作分析檢查的技術。自身保護技術，避免病毒程序殺死自身進程。 修復技術，對被病毒損壞的文件進行修復的技術。

由於大量的殺毒軟件的出現，以及殺毒軟件病毒庫的不斷壯大，病毒被查殺的幾率也越來越大。所以有些病毒就開始通過加殼的方法來偽裝自己，企圖騙過殺毒軟件，矇混過關。為了做好病毒防禦，我們就該瞭解什麼是加殼？加殼的對立面是不是脱殼？如何脱殼等？

計算機軟件裏有一段專門負責保護軟件不被非法修改或反編譯的程序。它們一般都是先於程序運行，拿到控制權，然後完成它們保護軟件的任務，大家就把這樣的程序稱為“殼”了。從功能上抽象的講，軟件的殼和自然界中的殼相差無幾。無非是保護、隱蔽殼內的東西。而從技術的角度出發，殼是一段執行於原始程序前的代碼。原始程序的代碼在加殼的過程中可能被壓縮、加密……。當加殼後的文件執行時，殼－這段代碼先於原始程序運行，他把壓縮、加密後的代碼還原成原始程序代碼，然後再把執行權交還給原始代碼。 軟件的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類，目的都是為了隱藏程序真正的OEP（入口點，防止被破解）。

作者編好軟件後，編譯成exe可執行文件。有一些版權信息需要保護起來，不想讓別人隨便改動，如作者的姓名，即為了保護軟件不被破解，通常都是採用加殼來進行保護。 加殼就需要把程序搞的小一點，從而方便使用。於是，需要用到一些軟件，它們能將exe可執行文件壓縮。而在黑客界中“殼”則被用在保護病毒，給木馬等軟件加殼脱殼以躲避殺毒軟件，給網民帶來很多的麻煩。

在好萊塢間諜電影裏，那些特工們往往以神奇莫測的化妝來欺騙別人，甚至變換成另一個身份，國內對於這種偽裝行為有個通俗的説法——“穿馬甲”。而這種正與邪的爭鬥已經延伸到了病毒領域，很多病毒作者通過給病毒“穿馬甲”、甚至穿多個“馬甲”的方式，躲避殺毒軟件的查殺，這種技術就是“加殼”。 病毒作者可以通過給老病毒加殼，大批量製造出殺毒軟件無法識別的新病毒。所謂加殼，是一種通過一系列數學運算，將可執行程序文件或動態鏈接庫文件的編碼進行改變（還有一些加殼軟件可以壓縮、加密驅動程序），以達到縮小文件體積或加密程序編碼的目的。當被加殼的程序運行時，外殼程序先被執行，然後由這個外殼程序負責將用户原有的程序在內存中解壓縮，並把控制權交還給脱殼後的真正程序。一切操作自動完成，用户不知道也無需知道殼程序是如何運行的。一般情況下，加殼程序和未加殼程序的運行結果是一樣的。

既然加殼後的病毒不易被發現，那麼如何判斷一個可執行文件是否被加了殼呢？

有一個簡單的方法（對中文軟件效果較明顯）。用記事本打開一個可執行文件，如果能看到軟件的提示信息則一般是未加殼的，如果完全是亂碼，則多半是被加殼的。我們還可以使用一款叫做Fileinfo的工具來查看文件具體加的是什麼殼。較常見到的殼有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木馬綵衣”等等。

病毒加殼的原理很簡單，黑客營中提供的多數病毒中，很多都是經過處理的，而這些處理就是所謂的加殼。我們知道當一個普通的EXE程序生成好後，很輕鬆的就可以利用諸如資源工具和反彙編工具對它進行修改，但如果程序員給EXE程序加一個殼的話，那麼至少這個加了殼的EXE程序就不是那麼好修改了，如果想修改就必須先脱殼。病毒加殼後也是同樣的道理，我們也必須先為病毒脱殼。三 脱殼方法：

有很多加殼工具，既然有矛，自然就有盾，只要我們收集全常用脱殼工具，那就不怕病毒加殼了。脱殼主要是通過工具來脱殼。

1．文件分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan,

2．OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid

3．dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE

4．PE文件編輯工具PEditor，ProcDump32，LordPE

5．重建Import Table工具：ImportREC，ReVirgin

6．ASProtect脱殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid

（1）Aspack：用的最多，但只要用UNASPACK或PEDUMP32脱殼就行了

（2）ASProtect+aspack：次之，國外的軟件多用它加殼，脱殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識，但最新版現在暫時沒有辦法。

（3）Upx： 可以用UPX本身來脱殼，但要注意版本是否一致，用-D 參數

（4）Armadill： 可以用SOFTICE+ICEDUMP脱殼，比較煩

（5）Dbpe： 國內比較好的加密軟件，新版本暫時不能脱，但可以破解

（6）NeoLite： 可以用自己來脱殼

（7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE來脱殼

（8）Pecompat： 用SOFTICE配合PEDUMP32來脱殼，但不要專業知識

（9）Petite： 有一部分的老版本可以用PEDUMP32直接脱殼，新版本脱殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識。

（10）WWpack32： 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脱殼，不過有時候資源無法修改，也就無法漢化，所以最好還是用SOFTICE配合PEDUMP32脱殼。