说了好几次,要发个加壳的教程,一直都太懒,只好把别人写的简单整理一下,大家莫怪哦。
=====================================
其实在我们从网站上下载的许多木马,都是被开发者处理过并加过壳的。
加壳的全称应该是“可执行程序资源压缩”,是保护可执行程序最有效的手段之一。
所谓加壳,其实是指利用特殊的算法,对EXE、DLL文件中的资源进行压缩的方法,这个压缩之后的文件可以独立运行,解压过程完全隐蔽,都在内在中完成。
解压原理:是加壳工具在文件头里加一段指令,告诉CPU怎样才能解压自己。由于现在的CPU速度是很快的,所以在解压过程中你一般发现不了运行速度有下降。
当你加壳后的程序执行时,就相当于给你的可执行程序加上个外衣。用户执行的只是这个可执行程序的外壳程序。当你执行这个程序序的时候,壳就会把原来的程序在内存中解开,解开后再把控制权交给真正的程序。
但加壳并不同于完全的解压缩的压缩,像RAR和ZIP这些压缩工具解压时需要对磁盘进行读写,而壳的解压缩是直接在内存中进行的。
加壳的用途有二:
一、防止反跟踪,即防止程序被人跟踪高度,防止源代码被窥视。
二。将恶意程序包装起来,逃过杀软监视。
==================
壳分为压缩壳、密码壳、加密壳三种。顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,常见的压缩壳包括FSG、ASPack、UPX、北斗等;加密壳也就是常说的保护壳、猛壳,它对程序输入表等内容进行加密保护,具有良好的保护效果,常见的加密壳包括ASPROTECT、ACPROTECT、PELock、幻影等;密码壳平时使用得不多,加密壳的程序只有在正确输入密码后才能运行。
一、防止反跟踪,即防止程序被人跟踪高度,防止源代码被窥视。
二。将恶意程序包装起来,逃过杀软监视。
==================
壳分为压缩壳、密码壳、加密壳三种。顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,常见的压缩壳包括FSG、ASPack、UPX、北斗等;加密壳也就是常说的保护壳、猛壳,它对程序输入表等内容进行加密保护,具有良好的保护效果,常见的加密壳包括ASPROTECT、ACPROTECT、PELock、幻影等;密码壳平时使用得不多,加密壳的程序只有在正确输入密码后才能运行。
==================
目前比较流行的加壳工具有:UPX、WWPACK等等。使用这些程序只需进行简单的设置就可以对软件进行加壳。
目前比较流行的加壳工具有:UPX、WWPACK等等。使用这些程序只需进行简单的设置就可以对软件进行加壳。
那么,是不是加了壳的木马就一定能躲过任何杀毒软件的监控呢?
由于在程序执行之前,由于壳的保护,杀毒软件的文件监控一般不能发现壳内的源代码。但一旦程序执行以后,完成脱壳过程,那么跟踪内存的杀毒软件会很快发现内存中正在运行的木马,最后将之杀掉。
由于在程序执行之前,由于壳的保护,杀毒软件的文件监控一般不能发现壳内的源代码。但一旦程序执行以后,完成脱壳过程,那么跟踪内存的杀毒软件会很快发现内存中正在运行的木马,最后将之杀掉。
===================
打开ASPack,在打开文件界面中,把木马添加进来。完成添加后,将自动跳转到“压缩”界面中,加壳开始。
完成加壳后,单击“压缩”界面中的“测试”按钮,以测试是否可以运行。
===================
如何识别加壳的木马
运行一个小软件PEiD,点文件右侧的打开(省略号图标)。它几乎可以检测到所有的被打包、掩藏和编译的PE文件。它的侦测数量可达450种之多。甚至可以检查出木马文件是用什么程序编写的。
打开ASPack,在打开文件界面中,把木马添加进来。完成添加后,将自动跳转到“压缩”界面中,加壳开始。
完成加壳后,单击“压缩”界面中的“测试”按钮,以测试是否可以运行。
===================
如何识别加壳的木马
运行一个小软件PEiD,点文件右侧的打开(省略号图标)。它几乎可以检测到所有的被打包、掩藏和编译的PE文件。它的侦测数量可达450种之多。甚至可以检查出木马文件是用什么程序编写的。
另外language2000也是一款非常强大的木马壳检测工具。
===================
如何脱壳
脱壳是程序员的最爱(剽窃源代码)。由于有些木马是要先脱壳以后再进行加壳的,所以脱壳对我们而言也有有意义的。
首先要知道,软件是用什么程序进行加壳的,这样我们才方便脱壳。
===================
如何脱壳
脱壳是程序员的最爱(剽窃源代码)。由于有些木马是要先脱壳以后再进行加壳的,所以脱壳对我们而言也有有意义的。
首先要知道,软件是用什么程序进行加壳的,这样我们才方便脱壳。
一、UPX脱壳:
把加壳后的程序添加进来,单击“解压缩”继续。
脱壳到一半时,会弹出“另存为”对话框,在文件名中输入文件名,保存即可。
===================
为什么我加的壳逃不过病毒的眼睛?
把加壳后的程序添加进来,单击“解压缩”继续。
脱壳到一半时,会弹出“另存为”对话框,在文件名中输入文件名,保存即可。
===================
为什么我加的壳逃不过病毒的眼睛?
如今黑客使用病毒加壳,主要是对使用的木马等恶意程序进行保护,从而避免它们被杀毒软件所查杀。比如大名鼎鼎的冰河木马,原版本被作者用UPX加壳,可是这种加壳方式已经被杀毒软件列入封杀名单。
所以人们现在要使用冰河的时候,首先需要将原来的UPX壳脱掉,接着通过修改特征码、修改程序入口地址、加花指令等不同的方法进行免杀操作,然后再加壳进行保护,这样一个免杀的冰河木马就诞生了。当然有的人可能不会去进行麻烦的免杀操作,所以只要对脱壳的服务端程序进行多层加壳即可,不过一般都是先加加密壳,再加压缩壳,顺序不能颠倒。
====================
如何测试我的木马是否免杀?
[url]www.virustotal.com[/url]
这个是世界反病毒网,里边有很多款世界著名杀软,免费在线查毒。如果你想测试你做的客户段的免杀程度的话,就来这里测试好了
所以人们现在要使用冰河的时候,首先需要将原来的UPX壳脱掉,接着通过修改特征码、修改程序入口地址、加花指令等不同的方法进行免杀操作,然后再加壳进行保护,这样一个免杀的冰河木马就诞生了。当然有的人可能不会去进行麻烦的免杀操作,所以只要对脱壳的服务端程序进行多层加壳即可,不过一般都是先加加密壳,再加压缩壳,顺序不能颠倒。
====================
如何测试我的木马是否免杀?
[url]www.virustotal.com[/url]
这个是世界反病毒网,里边有很多款世界著名杀软,免费在线查毒。如果你想测试你做的客户段的免杀程度的话,就来这里测试好了
注意:上传样本的时候一定要选择“不发送病毒样本”,不然就会上报给杀软公司,这样你辛辛苦苦做的免杀就白做了。
本文转自 霜寒未试 51CTO博客,原文链接:http://blog.51cto.com/51bbs/148231,如需转载请自行联系原作者
