本文目录一览:
什么是木马的加壳和脱壳
一.穿马甲—木马加壳的实现
什么是加壳?
所谓加壳.其实是指利用特殊的算法.对EXE. DLL文件里的资派进行压缩的方法.这个压绷之后的文件可以独立运行.解压过程完全a蔽.都在内存中完成。加壳一般有两种用途:
一是大部分的程序是因为防止反跟踪.防止程序被人跟踪调试,防止算法程序不思被别人静态分析。加密代码和数据.保护程序效据的完枯性,不被修改或者窥说程序的像代码。
二是将一些恶愈程序包装起来.进过杀雌软件的监视。从而实现自己的fl的.如加壳后的木马程序。显然.我们这里的加壳主要是针对第二种情况。
2.加壳实战
听起来.加壳是个很复杂的操作.但实际上我们并不循要自己去编写加壳程序来为谏程序进行加充。日蔺.成热的、免费的第三方加先程序非常多.如UPX. WWPACK等等。使用这些程序。只需进行简单的设置.就可以对自己的软件进行加壳。比方说灰鸽子的服务器端就是使用UPX加壳的。
那么.是不是加了壳的水马就能够成功的躲过任何杀毒软件的监控呢?事实上.在没有脱壳之前。的确能够发理壳内谏代码的杀毒软件还不多.但是一且加壳的木马被执行之后。完成了脱光的过程.那么跟踪内存的杀毒软件会很快的发现内存中正在运行中的木马.最后将之杀掉。实际上。国内很多杀毒软件已经拿握了检洲加壳恶愈程序的技术。如.在从服务器中下载加壳的木马服务器端程序时.就会弹出如I'd所示的提示。
从图中可以粉出.Setup.cxe文件中包括了加壳技术已经被检侧出来了。那么.恶愈程序是如何实现加光的呢?木马加壳的技术实际上很简单.当一个服务器劝的EXE程序生成好后.111以很轻松地利用ASPACK, UPX, WWPACK等这些第三方的程序进行加壳操作。下面.让我们来村肴如何使用AS Pack汉化版对一个程序进行加壳,其体过程是:
第1步:下载ASPack汉化版.
第2步:在“选项.设it界面中.在语言一列表中选择"Chinese"项.使软件界面转为汉化形式.如图所示。
第3步:在“打开文件一界面中.将准备进行加壳的程序添加进来.这哄添加的是压编程序Winter.如图所示。
第4步:在完成软件的添加后.将立即跳转到.压缩’界面中,此时可以肴到软件的加光操作己经开始。如图所示。
第5步:在完成加壳后.可以单击“压缩.界面中的.侧试.按钮.侧试一下加了壳后的程序能否运行。如果出现程序界面.荆表示加壳成功。如果是对恶愈程序进行加壳.一般就不要点击了.否."1稗后工作将会很萦琐。如图所示。
与加壳相反的过程称之为.脱壳二n的是把加壳后的程序恢艾成毫无包装的可执行代码,这样未授权都可以对其进行修改。“脱壳’的过程与.加壳,的探作栩似.沮不同是的“加壳.
软件.需要使用不间的“脱壳.软件。人役者必裕知进目标程序使用的是哪种.加光,软件进行加壳的.然后再用对应的“脱充.软件进行脱壳即可。简单地来说.加壳与脱壳就相当于加密和
解密的关系。
如何给病毒加壳?
我说个简单的方法 修改PE头 插花指令 再加个壳 再用系统自带的捆绑软件iexpress ok了
(一)壳的概念
作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些软件称为加壳软件。
(二)加壳软件最常见的加壳软件
ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32;PE-PACK ;PETITE NEOLITE
(三)侦测壳和软件所用编写语言的软件
因为脱壳之前要查他的壳的类型。
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强)。
2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒),推荐language2000中文版(专门检测加壳类型)。
3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)。
病毒要想生存,除了增加自身的变形能力以外,还可与程序加壳压缩联系起来。我们先来看看病毒变形的目的,因为现在的反病毒软件,基于特征码检测,增加变形能力,使得特征码检测方法更加困难。那么,如果再和程序加壳技术结合起来,那么将使的单单通过添加特征码方法解毒彻底失效,解毒时,必须同时更新扫描引擎,而现在并没有通用的解壳方法。因此加壳压缩和变形结合起来,将使得反病毒厂商手忙脚乱,也使得反病毒软件用户痛苦不堪,频繁的更新,除了特征码,还有扫描引擎。给平常的病毒加个壳,比如用upx,现在通常反病毒软件,对于常用的加密加壳压缩程序,都有相应的解壳程序。效果并不好,所以如果病毒本是既是一好的变形加密加壳压缩程序,那么,目的是强迫更新扫描引擎,当然也是可以被动态解压检测出来的,只是增加了解毒的很多工作量。实际上加壳技术不仅仅用于软件保护,也可用于好的病毒。好的病毒不一定要非常快的传播速度,难于检测,难于查杀更重要一些,就像现在杀毒界的虚拟机技术,也不过是个雏形,有很多的功能并不能完全虚拟化,同时若加壳代码本身可变形,同时有多种加壳算法可供随机选择,那么就很难找出其中的规律以及关系。总之,好的杀毒软件至少应该具有的技术功能之一就是要具备压缩还原技术:对Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等几百种压缩加壳软件自动还原,彻底解除隐藏较深的病毒,避免病毒死灰复燃。
什么是加壳程序,为什么要加壳?
加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩,
改变其原来的特征码,隐藏一些字符串等等,使一些资源编辑软件不能
正常打开或者修改。类似WINRAR的效果,只不过这个压缩之后的文件,
可以独立运行,解压过程完全隐蔽,都在内存中完成。
解压原理,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才
能解压自己。现在的CPU都很快,所以这个解压过程你看不出什么东东。
软件一下子就打开了,只有你机器配置非常差,才会感觉到不加壳和加壳
后的软件运行速度的差别。
当你加壳时,其实就是给可执行的文件加上个外衣。用户执行的只是
这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存
中解开,解开后,以后的就交给真正的程序。所以,这些的工作只是在内
存中运行的,是不可以了解具体是怎么样在内存中运行的。
通常说的对外壳加密,都是指很多网上免费或者非免费的软件,被一
些专门的加壳程序加壳,基本上是对程序的压缩或者不压缩。因为有的时
候程序会过大,需要压缩。但是大部分的程序是因为防止反跟踪,防止程
序被人跟踪调试,防止算法程序不想被别人静态分析。加密代码和数据,
保护你的程序数据的完整性。不被修改或者破。(有些木马和病毒利用加
壳伪装成正常程序)
参考资料:
