木马加壳为什么躲不过内存查毒？

作者：佚名    文章来源：本站原创    点击数： <script language="javascript" src="/design/GetHits.asp?ArticleID=4364" type="text/javascript"></script> 151    更新时间：2006-12-21 X:为什么我的木马被杀了?
HEART:加壳了吗?
X:当然了~UPX V1.90最新的壳
HEART:..............
我经常遇到别人这么问我~到底为什么加壳以后还会被杀?
其实此加壳非彼加壳
从最简单的开始说吧~
瑞星的内存杀毒大家一定知道吧~`好象是从2003开始的
以前的查毒都是特征码查毒~通过特定代码查毒的~加个壳就可以躲过,但是现在的内存查毒是通过在内存中查找病毒特征码来查毒的``
这个地方要提到加壳软件的种类和外壳原理了~
先说说加壳软件的分类吧.
加壳软件通常可以分为压缩保护,和加密保护
什么是压缩保护和加密保护呢~
1.压缩保护就是利用特定的压缩算法(就象WinZIP一样)把木马压缩打包运行的时候在内存中解压释放程序本体再运行(都是在内存中完成的:D)..由于压缩保护注重的是压缩(使程序体积变小)附带反反编译和反调试功能.就拿UPX来说~他就是压缩没有反调试功能和其他功能甚至只要找到OEP(程序入口点)就可以脱壳了(在内存中完全还原),这样杀毒软件就可以同样在内存中查到完整的木马本体代码了.
常见的压缩保护有:
UPX
ASpack
Petite
PECompact
PE-PACK
WWPack32
NeoLite
Shrinker
PKLITE32
等(都有直接的脱壳机)
2.加密保护:这类软件主要注重的就是加密和保护软件,所以反反编译和反调试功能就很完善(甚至锁定自身在内存中的进程不让别的进程插入进来),大家一定经常听到一些Cracker说ASProtect的壳难脱吧~为什么呢?就是因为他反调试,而且还是加密的本身代码几乎全变了(本体加密分段解密---用那段解哪段:D病毒技术的哦)~29A的主页上有很多这样的文章的~自己看一下~不过English一定要过得去哦~~好了继续说吧~加密保护的外壳在内存中也是不断跟踪的,反调试(用什么SEH技术~我也才接触我只会TRY做一些简单的异常处理~`嘿嘿~```)总之就上很难得到本身代码了(和你说了你也不知道~你要是知道用什么方法加密的也不会来看这个了~~哎呀~~不要打我哦)~所以平常的"老鸟"说的加壳都是指加密保护的外壳~但是加密保护的外壳一般压缩方面都不怎么样的~附加:甚至还有加壳以后比不加壳还大的事情.......
常见的加密保护的软件:
ASProtect(强!!!!!!!!!最难脱的壳~~压缩技术也好)
tElock(我喜欢大家一定喜欢这个东西的特别的好东西~`原因?不说~嘿嘿)
Armadillo(这个东西加密保护后很大)
SVK Protector
Xtreme-Protector
Obsidium
PElock
当然还有好多我就不说了~`以后有机会就发出来
好了说了分类和两种外壳的加密原理大家都知道了吧~.以后要加壳的话就用加密软件了~当然一些出名的杀毒软件作者也知道这种事情所以也作出了防范~就是查毒之前事先检查软件是否加壳如果加壳的话就~脱掉他然后再查毒~~当然道高一尺魔高一章至于怎么做那就是~~~~~多重加壳~原理:他能脱一个我们就加两个看他怎么脱~加个里三层外三层~看他脱得过来吗(一般杀毒软件只查一层壳如果脱多了~查毒速度就慢了所以~嘿嘿~~`自己想~)~多重加壳的教程我以前写过大家可以自己看:
多重加壳:原题:----打造属于自己的壳！！！！(初级篇----高手跳过~~)
下面的看法纯属个人看法：（以前是拿来保护自己的共享软件用的）
(1)用ASpack加两壳
大家知道用一种加壳软件加过壳后是很难加第二种壳的但是ASpack可以
怎么用呢(以upx为例)
用upx加过壳后，打开ASPack用2.12版哦
选择--------选项项目，开始设置
把“压缩资源”和“最大压缩”去掉”保留额外数据“选上
然后打开你用UPX压缩过的程序，看见了吧可以压缩是吗，呵呵别的壳你也可以试试
（不保证通用哦）
(2)加多壳，但是这次不是用ASpack加了，他太。。。。。多用户了
这里找两个不同的壳和一个软件名字叫freeres 0.94最高版本了--希望大家去注册~~支持国产软件
你看作者也满辛苦的~~我同情ing~~~~~~~~~好了说正事了
找一个加好壳的木马然后打开FreeRES（还是推荐大家注册，作者太可怜了~注册才15圆~真的）选择你的木马，然后freeres会提示“软件已经加壳是否需要分析软件资源”选择是
然后按上面的"功能菜单"选择“释放资源”不能选就不选了，接下来选择“建立可编辑资源”
点即"OK"完成~~~~~~了，好了你现在可以用的准备的第二个加壳软件加壳了~~
也可以重复以上步骤加“三壳”~~but 用此方法加的软件每次会大20多K！
（不是百试百灵哦80%机会，不保证通用）
(3)换壳
其实很简单就是把原来的壳拖了换另一种壳，我比较喜欢FSG的壳这个壳变态呀~~~~~~
不但可以加VC,VB,Delphi 等程序之外还可以加asm写的程序，我用masm写了一个1.7k的程序
FSG把我程序加成856b了晕~~~~~~呀，它的壳也不好脱~加了壳的程序只有两个节还没有名字
，可恶呀~~~~~~~~~反正变态了~~~~~~好的加壳软件国外很多，找不到可以联系我~~~
(4)用GUW32脱了再加
用GUW32脱壳脱的不干净~~这是缺点也是优点哦~~~~~~~~~~
先加一个GUW32可以脱的壳，他可以脱市面上80%的壳，连你没见过的都有~~~~
加了以后用GUW32脱，脱了以后找一个不常用的壳在加，呵呵~~~大家千万别去UG2002组织告发我哦~~~~~~~~~~~~
(5)用UPXpr技术处理再加壳
这种做法是真对上面(4)的方法写的，因为有的时候GUW32能脱的干净，所以我们就要想办法让他不干净，对！不干净~~~别乱想哦，先用UPX加壳
在用16进制编辑器打开它，本人喜欢使用HEX workshop!其他人请自便
呵呵~~~打开你加好的木马看见文件头UPX0,UPX1,UPX!了吗那就是UPX的脱壳标志，呵呵改呀，随便改成什么，这里我改成TEXT,CODE,HAHA,好了！
现在用GUW32脱壳，为什么不用UPX脱呢？？白痴~他脱不掉呀！我们不是处理过了吗！好了GUW32脱好了，现在用别的加壳软件加壳吧怎么样可以了吗！呵呵~~~~~~~~~~~
(6)定做加壳软件或自己写壳
以前有一个高手叫D.boy，大家可能听说过他的"冲击波0.2"不是病毒哦~~~~~
是一种可以跟踪加壳软件入口的程序，就是跟踪软件OEP的程序
他现在专职做软件的壳“幻影”就是他写的本人好厉害的~~~佩服ing~~~~~
他的"幻影"新版出来了，他还提供定做壳的项目哦~就是贵了一点~
自己写壳也很简单的只要搞清楚“流”和“内存”的问题就很简单的，，我就用Delphi写了一个“壳” 就是太大了！~用Delphi写壳~~哈哈笑话~12K的壳呀晕~~哦，C我也了一个15K的壳好大呀~~~~~~壳最好用Masm写，我正在学asm~~~~
(7)Anti-AntiVirus就是反~~杀毒软件,大家知道一般的加壳软件，是用来
压缩加密软件的目的是减小软件体积，防止Cracker的跟踪和反汇编的，但是木马壳加密技术不是用在对付Cracker上他是用来和杀毒软件对抗的，所以一般的壳不能胜任的，这里建议有能力自己编写，没有能力还是用别人的吧~~这里推荐一款ANTI AntiVirus的软件，它可以自定义查杀目标！呵呵现在有的木马已经有这个功能了，但是国产的木马很少有这种功能的呵呵~这里推荐一个名叫ANTI AntiVirus的软件~这款软件可以在你要保护的软件上形成一层保护壳自定义查杀目标，你可以自己定义~~呵呵
(8)还有~~~~~不说了再说的话~~~有的老鸟就要把我杀了~~~~~~~`
我泄露他们的机密了！呵呵~~~~~~~~~~~~
以上纯熟小弟随意涂鸦~~小弟很菜~有不对的地方请大哥指出~  

转载自:www.hackbase.com木马加壳