当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 木马“加/脱壳”的详细实现过程

杀毒防毒
来自微软的免费杀毒软件抢先试用
金山毒霸全新功能体验版抢先曝光
IRC后门病毒技术分析及手动清除方法
MSN性感鸡变种刚过,QQ病毒又来捣乱
Win XP中震荡波后应采取的措施
病毒应急处理中心提醒防范高波病毒及其变种
北京公安局、瑞星发布6月13日危险病毒警报
防御计算机病毒十大必知步骤
网吧用QQ隐私难保 黑客工具窥视QQ聊天记录
用MailSpy拦截局域网内危险的病毒邮件
如何根据名称识别计算机病毒
Norton AntiVirus 2005测试版截图大赏
快速干掉感染Internet Explorer的恶意程序
邮件病毒入侵后五个清除步骤
Win 2000防毒从安装系统时开始
木马病毒清除的通用解法
快速有效地封杀—巧利用Iris来查找蠕虫病毒
防病毒必务宝典—计算机病毒专杀进程列表
网络安全之特洛伊木马攻防战略
3721上网助手清除专家

杀毒防毒 中的 木马“加/脱壳”的详细实现过程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 60 ::
收藏到网摘: n/a

 

  编者按:我们将会为你全面剖析时下流行的木马攻防相关知识,让你在碰到中招的情况后,也不至于只会格式化再重装系统了事。通过对木马的“制作→伪装→种植→防范”全程攻略,让大家对于看似老生常谈的木马有一个比较系统的认识。

  为什么要“加/脱壳”?对于黑客来说,这项技术被淋漓尽致地应用到了伪装木马客户端上,目的是为了防止被杀毒软件反跟踪查杀和被跟踪调试,同时也防止算法程序被别人静态分析。

  用pe-scan给木马脱壳

  木马研究爱好者cytkk第一时间在国外某著名黑客论坛下载到了最新的反弹端口型木马(以下简称木马Z),正欲体验其强大的功能时,不料被Norton Antivirus逮个正着,令人郁闷不已。cytkk企图使用加壳软件UPX(Ultra Packer For executable)对它进行简单包装来骗过杀毒软件,哪料提示加壳失败,检测得知木马Z早已被程序作者用UPX压缩,当务之急是要先去除这个已被Norton Antivirus识破的“烂”壳。

  cytkk运行一款名叫pe-scan 3.31的软件。点击“open”打开木马Z的客户端,在居中的显示框内得知加壳类型为UPX,再点击“unpack”→“start”,cytkk按照提示设置好保存目录和文件名就完成了整个脱壳操作。这样一来就得到了木马Z的原始客户端程序。

  高手传经:在经过复杂的多重加壳后,检测出的结果就不一定准确了,此时就需要使用“adv.scan”高级扫描, pe-scan会分析出被各种加壳工具加壳的可能性。

  重新加壳欺骗杀毒软件

  接下来cytkk要做的就是给木马Z的原始客户端进行一次成功的加壳,根据以往的经验,此时用ASPack1.12是个明智之举,它拥有标准的Windows界面,操作简单直观。为了保证加壳后程序的完整性,cytkk放弃了最大可能的压缩,在“选项”中去掉了“压缩资源”的勾选并选择了“保留额外数据”。“压缩”选项很直观,有两个进度条,上面一个表示压缩进度,下面一个则是压缩后的文件大小。压缩完成后,cytkk便迫不及待地点击左边的“测试”按钮来进行完整性测试。结果没让cytkk失望,ASPack的出色表现使以严厉著称的Norton Antivirus对加壳后的木马Z也视而不见了。

  文中所述软件打包下载:http://www.sixvee.com/520yy/tools/cytkk-1.rar