木马技术补充:木马加壳

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:
 说了好几次,要发个加壳的教程,一直都太懒,只好把别人写的简单整理一下,大家莫怪哦。
  =====================================
其实在我们从网站上下载的许多木马,都是被开发者处理过并加过壳的。
加壳的全称应该是“可执行程序资源压缩”,是保护可执行程序最有效的手段之一。
所谓加壳,其实是指利用特殊的算法,对EXE、DLL文件中的资源进行压缩的方法,这个压缩之后的文件可以独立运行,解压过程完全隐蔽,都在内在中完成。
解压原理:是加壳工具在文件头里加一段指令,告诉CPU怎样才能解压自己。由于现在的CPU速度是很快的,所以在解压过程中你一般发现不了运行速度有下降。
当你加壳后的程序执行时,就相当于给你的可执行程序加上个外衣。用户执行的只是这个可执行程序的外壳程序。当你执行这个程序序的时候,壳就会把原来的程序在内存中解开,解开后再把控制权交给真正的程序。
但加壳并不同于完全的解压缩的压缩,像RAR和ZIP这些压缩工具解压时需要对磁盘进行读写,而壳的解压缩是直接在内存中进行的。
加壳的用途有二:
一、防止反跟踪,即防止程序被人跟踪高度,防止源代码被窥视。
二。将恶意程序包装起来,逃过杀软监视。
==================
壳分为压缩壳、密码壳、加密壳三种。顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,常见的压缩壳包括FSG、ASPack、UPX、北斗等;加密壳也就是常说的保护壳、猛壳,它对程序输入表等内容进行加密保护,具有良好的保护效果,常见的加密壳包括ASPROTECT、ACPROTECT、PELock、幻影等;密码壳平时使用得不多,加密壳的程序只有在正确输入密码后才能运行。
==================
目前比较流行的加壳工具有:UPX、WWPACK等等。使用这些程序只需进行简单的设置就可以对软件进行加壳。
那么,是不是加了壳的木马就一定能躲过任何杀毒软件的监控呢?
由于在程序执行之前,由于壳的保护,杀毒软件的文件监控一般不能发现壳内的源代码。但一旦程序执行以后,完成脱壳过程,那么跟踪内存的杀毒软件会很快发现内存中正在运行的木马,最后将之杀掉。
===================
打开ASPack,在打开文件界面中,把木马添加进来。完成添加后,将自动跳转到“压缩”界面中,加壳开始。
完成加壳后,单击“压缩”界面中的“测试”按钮,以测试是否可以运行。
===================
如何识别加壳的木马
运行一个小软件PEiD,点文件右侧的打开(省略号图标)。它几乎可以检测到所有的被打包、掩藏和编译的PE文件。它的侦测数量可达450种之多。甚至可以检查出木马文件是用什么程序编写的。
另外language2000也是一款非常强大的木马壳检测工具。
===================
如何脱壳
脱壳是程序员的最爱(剽窃源代码)。由于有些木马是要先脱壳以后再进行加壳的,所以脱壳对我们而言也有有意义的。
首先要知道,软件是用什么程序进行加壳的,这样我们才方便脱壳。
一、UPX脱壳:
把加壳后的程序添加进来,单击“解压缩”继续。
脱壳到一半时,会弹出“另存为”对话框,在文件名中输入文件名,保存即可。
===================
为什么我加的壳逃不过病毒的眼睛?
 如今黑客使用病毒加壳,主要是对使用的木马等恶意程序进行保护,从而避免它们被杀毒软件所查杀。比如大名鼎鼎的冰河木马,原版本被作者用UPX加壳,可是这种加壳方式已经被杀毒软件列入封杀名单。
所以人们现在要使用冰河的时候,首先需要将原来的UPX壳脱掉,接着通过修改特征码、修改程序入口地址、加花指令等不同的方法进行免杀操作,然后再加壳进行保护,这样一个免杀的冰河木马就诞生了。当然有的人可能不会去进行麻烦的免杀操作,所以只要对脱壳的服务端程序进行多层加壳即可,不过一般都是先加加密壳,再加压缩壳,顺序不能颠倒。
====================
如何测试我的木马是否免杀?
[url]www.virustotal.com[/url]
这个是世界反病毒网,里边有很多款世界著名杀软,免费在线查毒。如果你想测试你做的客户段的免杀程度的话,就来这里测试好了
注意:上传样本的时候一定要选择“不发送病毒样本”,不然就会上报给杀软公司,这样你辛辛苦苦做的免杀就白做了。


本文转自 霜寒未试 51CTO博客,原文链接:http://blog.51cto.com/51bbs/148231,如需转载请自行联系原作者
相关文章
|
2月前
|
存储 SQL 安全
【恶意代码系列】一.何谓恶意代码
【恶意代码系列】一.何谓恶意代码
|
安全 API Windows
恶意病毒逆向分析实验1
恶意病毒逆向分析
|
SQL 安全 Shell
文件包含漏洞渗透攻击_3 | 学习笔记
快速学习 文件包含漏洞渗透攻击_3
167 0
文件包含漏洞渗透攻击_3 | 学习笔记
|
安全 算法 编译器
逆向分析 工具、加壳、安全防护篇
作者主页:https://www.couragesteak.com/
逆向分析 工具、加壳、安全防护篇
|
安全 Windows
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
187 0
7-Zip 曝出零日安全漏洞!通过“模仿文件扩展名”向攻击者提供管理员权限
|
安全 Ubuntu Linux
linux服务器木马后门rookit检测过程
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。那这个是 check rookit。我们来看一下第二个工具,叫rookit hunter,这也是一个系统可以直接安装的工具。那安装完毕之后,执行这条命令就可以了,执行的过程我就不给大家讲了,你只要一路回车就可以了。重点是什么?重点是要会看结果。也就是说我们查询出如kite之后,那我怎么知道它是一个rookit?看这里边爆出来了,lookit。也就是说他做了一些这个隐藏,加入到内核里之后,看这都是挖点,说明已
237 0
linux服务器木马后门rookit检测过程
|
安全
谨防沦为DLL后门木马及其变种的肉鸡
卡巴斯基实验室近期发现有一种名为“DLL后门木马”的恶意软件活动比较频繁。 该木马采用Delphi语言编写,未加壳,但其具有伪造的数字签名,而且其变种竟然高达390多种。此木马主要通过网页挂马等方式感染用户计算机,危害性比较大。
925 0
|
安全 应用服务中间件 网络安全
Struts2致命远程执行代码漏洞植入门罗币挖矿安装病毒解决方法
早期由于redis低版本发现远程可执行代码漏洞,导致被黑客植入挖矿木马,服务器沦为矿机。今年Struts2又出现该漏洞,一年前自己有用Struts2编写过一个网站,没想到今天被我遇到了,特地写文章记录一下。
2303 0
|
应用服务中间件 PHP Apache