“是这种情况吗?”顾狼停止了追踪,指着电脑屏幕问道。
“是的。”经理回答道。
“说说具体情况?”顾狼说道。
“再过一会儿,免疫程序会自动返回,但是程序执行跳转命令后到返回前的这段时间完全跟踪不到。”经理回答道。
经理正解释的时候,调试软件检测到了专杀程序的免疫进程的返回指令,顾狼暂停了和经理的谈话,让程序继续单步执行,此时,专杀程序将免疫进程结束掉,然后返回了初始窗口,并给出了提示:“系统免疫成功。”
“蓝色代码的免疫方法被可以隐藏起来了,这件事你怎么看?”顾狼再次问道。
“免疫进程的执行过程被隐藏起来,可能是专杀工具开发者不想让别人知道他的免疫算法。”经理说道。
“有没有其他可能?”顾狼又问道。
“我觉得这个可能最大,再有的可能就是开发者在故弄玄虚,所谓的免疫算法只不过是障眼法罢了。”经理又说道。
“你凭什么这么说?”顾狼看了经理一眼,问道。
“蓝色代码的感染范围是全球性的,但是到目前为止,全球各家计算机安全公司也只是推出了蓝色代码的查杀方案,却没有任何一家公司提出蓝色代码的入侵检测方案和免疫方案,而这个开发者偏偏又把免疫方法隐藏了起来,这两者结合,很难不让人产生刚才的联想。”经理说道。
“嗯,你说的也有道理,不过也很好验证,如果这个专杀真的能免疫蓝色代码,你的第二种推测会不攻自破,现在组织大家,集中精力搞清楚专杀免疫进程跳转的实现方法才是最重要的。”顾狼说道。
“顾总说的是。”经理说道。
“你去吧,有了结果及时告诉我。”顾狼摆摆手,将经理打发离开,然后再次将目光移到了电脑屏幕上,思索片刻,再次尝试着追踪了一遍专杀工具的免疫进程
这次的结果和先前完全一样,在进入正式免疫之前,进程进行了一次跳转,跳转地址也能够得到,但是按照跳转地址追踪过去,免疫进程却消失了。
这样的结果让顾狼有些难以理解,按照正常的情况,免疫进程执行的每一条指令都是在调试软件的控制下进行的,在这里,可以将调试软件比作军队上的长官,免疫进程是一个接受长官命令的士兵,长官发出一个命令,士兵执行一条命令,然后会停下来接受另一条命令,如果长官不下命令,士兵不会主动行动,刚才的追踪就像是士兵在教官的命令下向前走了几步,然后突然在教官眼皮子底下消失了。
“一定是这个开发者使用了什么我不知道的特殊方法,问问别人,看看有没有人知道的。”顾狼追踪无果,并没有去钻牛角尖,而是拿起电话拨通了hotfire王冰的电话。
“我是顾狼,红客联盟发布的那个蓝色代码专杀你研究过没有?”电话接通后,顾狼开门见山问道。
“研究了,有些地方很诡异,我搞不定,正准备给你打电话呢,你倒是先打过来了,怎么,你也搞不定?”王冰说道。
“是的,那个跳转太诡异了,很不合常理啊。”顾狼说道。
“蓝色代码更不合常理,也许对付不合常理的蠕虫,就需要用到一些不比寻常的方法吧,从这个角度考虑,不合常理反而是合乎常理的,如果对方用一种你我非常熟悉的方法简单的就把蓝色代码给免疫了,反而是不合常理的。”王冰说道。
“歪理,你这完全是歪理,我很好奇这话你是从哪里看到的。”顾狼听到王冰这么说,于是笑了起来,问道。
“红客联盟啊,你没看那里的帖子吗,刚刚我在红客联盟发了个质疑帖,然后有人在后面说的那个道理,更可笑的是,很多愣头青们还都相信了这个道理,在帖子后面排着队灌水骂我呢,哈哈……”王冰笑道。