首页 > 单独文章 > 正文

活学活用木马免杀之加壳篇

时间:2008-03-29 09:38:43 作者:officeba 【认证】
现在有黑客常常感叹道:壳之初,性本善。本来壳的诞生是为了保护程序不被破解,但是既然木马也是程序的一种类型,那么为什么不用它来保护木马程序呢?于是壳的用途也由此发生了戏剧性的改变,它们现在已经成为保护木马不被查杀的重要工具。那么木马免杀是否就是黑客的专利呢?当然不是,通过加壳任何人都可以很快完成自己的第一次免杀操作。

一、壳是用来干什么的

在自然界中,植物利用壳来保护种子,动物利用壳来保护身体。同样在一些计算机软件里,也有一段专门负责保护软件不被非法修改或反编译的程序。它们往往都是先于程序运行,拿到系统的控制权,然后完成保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则大家就把这样的程序称为“ 壳” 了。而“ 加壳” 指的是对编译好的EXE 、DLL 等文件采用加壳来进行保护。
当加壳后的文件执行时,壳这段代码先于原始程序运行,它把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳、加密壳两种。顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳也就是常说的保护壳、猛壳,它对程序输入表等内容进行加密保护。用加密壳加过之后程序会变大,而压缩壳会使程序变小。当然,有的壳不仅可以加密还能压缩。

二、木马是如何加壳的

1. 单一加壳

单一加壳就是使用加壳程序对文件进行一次加壳。加壳免杀看似简单却在选择使用的加壳工具上很有技巧,一般都应该选择一些不常见的壳,或者一些猛壳或是刚刚发布的新壳。这样杀毒软件在没有对这种壳进行破解之前,是无法脱壳分析文件的特征码的。首先我们选择的是最新的国产加壳程序PEQuake ,这个加密壳是在Hying's PE -Armor 壳上修改而成的,而我们选择需要处理的程序是一款网路漏洞搜索工具。
首先运行这个加壳程序后切换到窗口的“ 选项” 标签,将其中的除了“ 保留额外数据” 以外的选项都选中,接着点击“ 应用” 按钮确认刚刚的设置。然后点击窗口的“ 压缩” 标签后,通过“ 文件” 选项后的按钮来选择木马服务端程序,最后点击窗口中的“ 压缩” 按钮来完成操作。经过这样的处理后,这款网页木马生成工具就已经免杀了,这就是一款全新的加壳程序所做的。

2. 多重加壳

虽然在前面提到加壳要选择一些陌生的加壳程序,其实只要我们正确地进行设置和使用,很多常见的加壳程序联合使用也能起到免杀的作用,这里我们同样使用网路漏洞搜索这款工具进行操作。

第一步:我们首先运用强壳来进行加壳,接着在通过压缩壳来压缩。这里我们选择的是Hying's PE -Armor 这款加壳工具,在弹出窗口的“ 处理” 标签中的“ 要保护的文件” 选项中,选择需要加壳的文件;再切换到“ 设置1 ” 标签,我们选择其中的“ 合并区段” 、“ 忽略区块共享” 、“ 保留额外数据” 、“ 压缩资源” 、“ 输入表加密” 等;接着再切换到“ 设置2 ” 标签,选中“ 将自身伪装为” 选项,然后从下拉列表中选择一个伪装的项目,最后返回到“ 处理” 标签并点击其中的“ 保护” 按钮即可。

第二步:现在并不能马上就进行加壳,因为每个壳的兼容性都是不一样的,因此需要进行资源释放处理才行。以前在进行多重加壳的时候往往会出现错误,就是因为在加壳后没有对文件资源进行重建。这里需要使用FreeRes 这款工具,它可以分析被压缩的文件资源信息。对于被压缩的软件FreeRes 可以为它重新建立起一份可编辑的资源,使其他资源编辑工具能够正常的处理加过壳的软件。

运行FreeRes 后选择刚刚加壳的文件,这时弹出一个提示窗口:“ 载入资源错误,它可能已被压缩,你是否需要释放资源进行分析?” ,我们这里直接点击“ 是” 按钮。这里需要特别声明的是,在重建资源的时候,FreeRes 会运行当前正在处理的文件,也就是说你如果正在对木马程序进行加壳处理的话,程序将自动运行木马的服务端程序。接着点击“ 功能” 菜单中的“ 建立可编辑资源” 命令,给上面加壳后的文件进行资源的重建。

第三步:运行ASPack 这款常见的加壳程序,点击" 打开" 按钮选择刚刚处理过的文件,选择完成后ASPack 会自动为程序进行加壳。这样就完成了第二次的加壳处理。如果还需要再进行加壳处理的话,那么就接着再执行FreeRes ,按照前面的步骤对加壳的文件进行资源重建处理,然后再利用其他的加壳程序进行处理即可。经过这样的多次加壳处理后,我们再经过杀毒软件检测,发现已经不再被查杀了。

三、加壳木马也能防

加壳只是让木马程序文件的表面躲过杀毒软件的查杀,当木马程序在系统运行以后壳的作用就会失效,这样利用杀毒软件的内存杀毒功能就可以进行查杀。这时有朋友问:难道要我们先运行这些木马程序才行吗?当然不用。我们只需要首先运行OllyICE 这款程序,接着用其打开可疑的应用程序,这样程序就会将木马加载到系统内存中。然后再运行内存杀毒进行扫描就可以,如果杀毒软件提示存在木马就不用运行该程序了。

总结
如今虽然各种各样全新的免杀方法层出不穷,但是通过“ 加壳” 这种传统方法进行免杀,仍然不失为一种既简单又好用的选择方法。除了可以对EXE 、DLL 等文件进行免杀外,还可以对SYS 驱动文件进行免杀。同时我们也要看到“ 加壳” 的不足,首先这些壳很快都会被杀毒软件破解,因此免杀的有效期不会很长。其次就是由于加壳程序编写等各种原因,会对不同的文件造成不同的结果,比如文件不能成功加壳、加壳后的文件不能成功运行、和其它文件造成不兼容等。因此也不能对加壳免杀迷信。

相关文章

同类最新