木马技术补充:木马加壳

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:
 说了好几次,要发个加壳的教程,一直都太懒,只好把别人写的简单整理一下,大家莫怪哦。
  =====================================
其实在我们从网站上下载的许多木马,都是被开发者处理过并加过壳的。
加壳的全称应该是“可执行程序资源压缩”,是保护可执行程序最有效的手段之一。
所谓加壳,其实是指利用特殊的算法,对EXE、DLL文件中的资源进行压缩的方法,这个压缩之后的文件可以独立运行,解压过程完全隐蔽,都在内在中完成。
解压原理:是加壳工具在文件头里加一段指令,告诉CPU怎样才能解压自己。由于现在的CPU速度是很快的,所以在解压过程中你一般发现不了运行速度有下降。
当你加壳后的程序执行时,就相当于给你的可执行程序加上个外衣。用户执行的只是这个可执行程序的外壳程序。当你执行这个程序序的时候,壳就会把原来的程序在内存中解开,解开后再把控制权交给真正的程序。
但加壳并不同于完全的解压缩的压缩,像RAR和ZIP这些压缩工具解压时需要对磁盘进行读写,而壳的解压缩是直接在内存中进行的。
加壳的用途有二:
一、防止反跟踪,即防止程序被人跟踪高度,防止源代码被窥视。
二。将恶意程序包装起来,逃过杀软监视。
==================
壳分为压缩壳、密码壳、加密壳三种。顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,常见的压缩壳包括FSG、ASPack、UPX、北斗等;加密壳也就是常说的保护壳、猛壳,它对程序输入表等内容进行加密保护,具有良好的保护效果,常见的加密壳包括ASPROTECT、ACPROTECT、PELock、幻影等;密码壳平时使用得不多,加密壳的程序只有在正确输入密码后才能运行。
==================
目前比较流行的加壳工具有:UPX、WWPACK等等。使用这些程序只需进行简单的设置就可以对软件进行加壳。
那么,是不是加了壳的木马就一定能躲过任何杀毒软件的监控呢?
由于在程序执行之前,由于壳的保护,杀毒软件的文件监控一般不能发现壳内的源代码。但一旦程序执行以后,完成脱壳过程,那么跟踪内存的杀毒软件会很快发现内存中正在运行的木马,最后将之杀掉。
===================
打开ASPack,在打开文件界面中,把木马添加进来。完成添加后,将自动跳转到“压缩”界面中,加壳开始。
完成加壳后,单击“压缩”界面中的“测试”按钮,以测试是否可以运行。
===================
如何识别加壳的木马
运行一个小软件PEiD,点文件右侧的打开(省略号图标)。它几乎可以检测到所有的被打包、掩藏和编译的PE文件。它的侦测数量可达450种之多。甚至可以检查出木马文件是用什么程序编写的。
另外language2000也是一款非常强大的木马壳检测工具。
===================
如何脱壳
脱壳是程序员的最爱(剽窃源代码)。由于有些木马是要先脱壳以后再进行加壳的,所以脱壳对我们而言也有有意义的。
首先要知道,软件是用什么程序进行加壳的,这样我们才方便脱壳。
一、UPX脱壳:
把加壳后的程序添加进来,单击“解压缩”继续。
脱壳到一半时,会弹出“另存为”对话框,在文件名中输入文件名,保存即可。
===================
为什么我加的壳逃不过病毒的眼睛?
 如今黑客使用病毒加壳,主要是对使用的木马等恶意程序进行保护,从而避免它们被杀毒软件所查杀。比如大名鼎鼎的冰河木马,原版本被作者用UPX加壳,可是这种加壳方式已经被杀毒软件列入封杀名单。
所以人们现在要使用冰河的时候,首先需要将原来的UPX壳脱掉,接着通过修改特征码、修改程序入口地址、加花指令等不同的方法进行免杀操作,然后再加壳进行保护,这样一个免杀的冰河木马就诞生了。当然有的人可能不会去进行麻烦的免杀操作,所以只要对脱壳的服务端程序进行多层加壳即可,不过一般都是先加加密壳,再加压缩壳,顺序不能颠倒。
====================
如何测试我的木马是否免杀?
[url]www.virustotal.com[/url]
这个是世界反病毒网,里边有很多款世界著名杀软,免费在线查毒。如果你想测试你做的客户段的免杀程度的话,就来这里测试好了
注意:上传样本的时候一定要选择“不发送病毒样本”,不然就会上报给杀软公司,这样你辛辛苦苦做的免杀就白做了。


本文转自 霜寒未试 51CTO博客,原文链接:http://blog.51cto.com/51bbs/148231,如需转载请自行联系原作者
相关文章
|
2月前
|
存储 SQL 安全
【恶意代码系列】一.何谓恶意代码
【恶意代码系列】一.何谓恶意代码
|
开发框架 安全 .NET
冰蝎WebShell免杀工具(支持4.0.6)
冰蝎WebShell免杀工具(支持4.0.6)
614 0
|
SQL 缓存 弹性计算
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
2545 0
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
|
安全 API Windows
恶意病毒逆向分析实验1
恶意病毒逆向分析
|
安全 索引 Windows
干货丨windows内核www漏洞利用手法(修改版)
注:由于上次发出来的不完整,所以删除了重新发完整点的 前言:Gcow安全团队复眼小组致力于对漏洞的挖掘和研究,并且对于二进制和web漏洞方面都有所研究,有独立挖掘漏洞和独立复现漏洞的能力,本篇文章由Gcow安全团队复眼小组晏子霜师傅所写!
|
SQL 安全 Shell
文件包含漏洞渗透攻击_3 | 学习笔记
快速学习 文件包含漏洞渗透攻击_3
171 0
文件包含漏洞渗透攻击_3 | 学习笔记
|
安全 网络安全 PHP
文件包含漏洞渗透攻击_2 | 学习笔记
快速学习 文件包含漏洞渗透攻击_2
155 0
文件包含漏洞渗透攻击_2 | 学习笔记
|
安全 Windows
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
189 0
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
|
安全 Ubuntu Linux
linux服务器木马后门rookit检测过程
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。那这个是 check rookit。我们来看一下第二个工具,叫rookit hunter,这也是一个系统可以直接安装的工具。那安装完毕之后,执行这条命令就可以了,执行的过程我就不给大家讲了,你只要一路回车就可以了。重点是什么?重点是要会看结果。也就是说我们查询出如kite之后,那我怎么知道它是一个rookit?看这里边爆出来了,lookit。也就是说他做了一些这个隐藏,加入到内核里之后,看这都是挖点,说明已
241 0
linux服务器木马后门rookit检测过程
|
云安全 监控 安全
Java开发远程调试易埋隐患,JDWPMiner挖矿木马后门分析
近日,阿里云安全监测到一种利用JDWP RCE漏洞进行挖矿的恶意攻击,对用户资产危害极大,近期传播有所上升,提醒广大用户注意防护。
1027 0
Java开发远程调试易埋隐患,JDWPMiner挖矿木马后门分析