当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 木马“加/脱壳”的详细实现过程

杀毒防毒
几个小绝招增强系统对木马和病毒的防范
全面解析木马后门程序运行原理 把它扼杀在摇篮里
修改注册表清除黑客程序保证计算机安全
关闭和限制电脑不常用端口确保安全
与脚本病毒做斗争 几种常见的杀毒方法
经验共享---如何防御网络游戏外挂木马
系统安全之教你手工清除灰鸽子Vip2005
识别文本文件型邮件附件的欺骗方法
安全防护我先行 不准病毒自行启动
彻底清除无法显示隐藏文件病毒
使用杀毒软件的十大误区
李鬼?李逵? 深入了解灰鸽子2007真实功能
揭示灰鸽子七宗罪 不可不知的病毒解决方案
双击无法打开驱动器的杀毒方法
最新木马专杀下载 可杀灭十万种木马
看看你的系统有没有被流氓入侵
小心藏在情书邮件里的病毒盗取你的QQ账号
“灰鸽子”从防到杀全过程
“灰鸽子”凶猛:不容忽视的潜在威胁
彻底清除无法显示隐藏文件的病毒

杀毒防毒 中的 木马“加/脱壳”的详细实现过程


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 48 ::
收藏到网摘: n/a

 

  编者按:我们将会为你全面剖析时下流行的木马攻防相关知识,让你在碰到中招的情况后,也不至于只会格式化再重装系统了事。通过对木马的“制作→伪装→种植→防范”全程攻略,让大家对于看似老生常谈的木马有一个比较系统的认识。

  为什么要“加/脱壳”?对于黑客来说,这项技术被淋漓尽致地应用到了伪装木马客户端上,目的是为了防止被杀毒软件反跟踪查杀和被跟踪调试,同时也防止算法程序被别人静态分析。

  用pe-scan给木马脱壳

  木马研究爱好者cytkk第一时间在国外某著名黑客论坛下载到了最新的反弹端口型木马(以下简称木马Z),正欲体验其强大的功能时,不料被Norton Antivirus逮个正着,令人郁闷不已。cytkk企图使用加壳软件UPX(Ultra Packer For executable)对它进行简单包装来骗过杀毒软件,哪料提示加壳失败,检测得知木马Z早已被程序作者用UPX压缩,当务之急是要先去除这个已被Norton Antivirus识破的“烂”壳。

  cytkk运行一款名叫pe-scan 3.31的软件。点击“open”打开木马Z的客户端,在居中的显示框内得知加壳类型为UPX,再点击“unpack”→“start”,cytkk按照提示设置好保存目录和文件名就完成了整个脱壳操作。这样一来就得到了木马Z的原始客户端程序。

  高手传经:在经过复杂的多重加壳后,检测出的结果就不一定准确了,此时就需要使用“adv.scan”高级扫描, pe-scan会分析出被各种加壳工具加壳的可能性。

  重新加壳欺骗杀毒软件

  接下来cytkk要做的就是给木马Z的原始客户端进行一次成功的加壳,根据以往的经验,此时用ASPack1.12是个明智之举,它拥有标准的Windows界面,操作简单直观。为了保证加壳后程序的完整性,cytkk放弃了最大可能的压缩,在“选项”中去掉了“压缩资源”的勾选并选择了“保留额外数据”。“压缩”选项很直观,有两个进度条,上面一个表示压缩进度,下面一个则是压缩后的文件大小。压缩完成后,cytkk便迫不及待地点击左边的“测试”按钮来进行完整性测试。结果没让cytkk失望,ASPack的出色表现使以严厉著称的Norton Antivirus对加壳后的木马Z也视而不见了。

  文中所述软件打包下载:http://www.sixvee.com/520yy/tools/cytkk-1.rar