木马加壳为什么躲不过内存查毒?
孤独的海 发表于 2005-1-17 17:35:00
先说说加壳软件的分类吧.
加壳软件通常可以分为压缩保护,和加密保护
什么是压缩保护和加密保护呢~
1.压缩保护就是利用特定的压缩算法(就象WinZIP一样)把木马压缩打包运行的时候在内存中解压释放程序本体再运行(都是在内存中完成的:D)..由于压缩保护注重的是压缩(使程序体积变小)附带反反编译和反调试功能.就拿UPX来说~他就是压缩没有反调试功能和其他功能甚至只要找到OEP(程序入口点)就可以脱壳了(在内存中完全还原),这样杀毒软件就可以同样在内存中查到完整的木马本体代码了.
常见的压缩保护有:
UPX
ASpack
Petite
PECompact
PE-PACK
WWPack32
NeoLite
Shrinker
PKLITE32
等(都有直接的脱壳机)
2.加密保护:这类软件主要注重的就是加密和保护软件,所以反反编译和反调试功能就很完善(甚至锁定自身在内存中的进程不让别的进程插入进来),大家一定经常听到一些Cracker说ASProtect的壳难脱吧~为什么呢?就是因为他反调试,而且还是加密的本身代码几乎全变了(本体加密分段解密---用那段解哪段:D病毒技术的哦)~29A的主页上有很多这样的文章的~自己看一下~不过English一定要过得去哦~~好了继续说吧~加密保护的外壳在内存中也是不断跟踪的,反调试(用什么SEH技术~我也才接触我只会TRY做一些简单的异常处理~`嘿嘿~```)总之就上很难得到本身代码了(和你说了你也不知道~你要是知道用什么方法加密的也不会来看这个了~~哎呀~~不要打我哦)~所以平常的"老鸟"说的加壳都是指加密保护的外壳~但是加密保护的外壳一般压缩方面都不怎么样的~附加:甚至还有加壳以后比不加壳还大的事情.......
常见的加密保护的软件:
ASProtect(强!!!!!!!!!最难脱的壳~~压缩技术也好)
tElock(我喜欢大家一定喜欢这个东西的特别的好东西~`原因?不说~嘿嘿)
Armadillo(这个东西加密保护后很大)
SVK Protector
Xtreme-Protector
Obsidium
PElock
当然还有好多我就不说了~`以后有机会就发出来
好了说了分类和两种外壳的加密原理大家都知道了吧~.以后要加壳的话就用加密软件了~当然一些出名的杀毒软件作者也知道这种事情所以也作出了防范~就是查毒之前事先检查软件是否加壳如果加壳的话就~脱掉他然后再查毒~~当然道高一尺魔高一章至于怎么做那就是~~~~~多重加壳~原理:他能脱一个我们就加两个看他怎么脱~加个里三层外三层~看他脱得过来吗(一般杀毒软件只查一层壳如果脱多了~查毒速度就慢了所以~嘿嘿~~`自己想~)~多重加壳的教程我以前写过大家可以自己看:
多重加壳:原题:----打造属于自己的壳!!!!(初级篇----高手跳过~~)
下面的看法纯属个人看法:(以前是拿来保护自己的共享软件用的)
(1)用ASpack加两壳
大家知道用一种加壳软件加过壳后是很难加第二种壳的但是ASpack可以
怎么用呢(以upx为例)
用upx加过壳后,打开ASPack用2.12版哦
选择--------选项项目,开始设置
把“压缩资源”和“最大压缩”去掉”保留额外数据“选上
然后打开你用UPX压缩过的程序,看见了吧可以压缩是吗,呵呵别的壳你也可以试试
(不保证通用哦)
(2)加多壳,但是这次不是用ASpack加了,他太。。。。。多用户了
这里找两个不同的壳和一个软件名字叫freeres 0.94最高版本了--希望大家去注册~~支持国产软件
你看作者也满辛苦的~~我同情ing~~~~~~~~~好了说正事了
找一个加好壳的木马然后打开FreeRES(还是推荐大家注册,作者太可怜了~注册才15圆~真的)选择你的木马,然后freeres会提示“软件已经加壳是否需要分析软件资源”选择是
然后按上面的"功能菜单"选择“释放资源”不能选就不选了,接下来选择“建立可编辑资源”
点即"OK"完成~~~~~~了,好了你现在可以用的准备的第二个加壳软件加壳了~~
也可以重复以上步骤加“三壳”~~but 用此方法加的软件每次会大20多K!
(不是百试百灵哦80%机会,不保证通用)
(3)换壳
其实很简单就是把原来的壳拖了换另一种壳,我比较喜欢FSG的壳这个壳变态呀~~~~~~
不但可以加VC,VB,Delphi 等程序之外还可以加asm写的程序,我用masm写了一个1.7k的程序
FSG把我程序加成856b了晕~~~~~~呀,它的壳也不好脱~加了壳的程序只有两个节还没有名字
,可恶呀~~~~~~~~~反正变态了~~~~~~好的加壳软件国外很多,找不到可以联系我~~~
(4)用GUW32脱了再加
用GUW32脱壳脱的不干净~~这是缺点也是优点哦~~~~~~~~~~
先加一个GUW32可以脱的壳,他可以脱市面上80%的壳,连你没见过的都有~~~~
加了以后用GUW32脱,脱了以后找一个不常用的壳在加,呵呵~~~大家千万别去UG2002组织告发我哦~~~~~~~~~~~~
(5)用UPXpr技术处理再加壳
这种做法是真对上面(4)的方法写的,因为有的时候GUW32能脱的干净,所以我们就要想办法让他不干净,对!不干净~~~别乱想哦,先用UPX加壳
在用16进制编辑器打开它,本人喜欢使用HEX workshop!其他人请自便
呵呵~~~打开你加好的木马看见文件头UPX0,UPX1,UPX!了吗那就是UPX的脱壳标志,呵呵改呀,随便改成什么,这里我改成TEXT,CODE,HAHA,好了!
现在用GUW32脱壳,为什么不用UPX脱呢??白痴~他脱不掉呀!我们不是处理过了吗!好了GUW32脱好了,现在用别的加壳软件加壳吧怎么样可以了吗!呵呵~~~~~~~~~~~
(6)定做加壳软件或自己写壳
以前有一个高手叫D.boy,大家可能听说过他的"冲击波0.2"不是病毒哦~~~~~
是一种可以跟踪加壳软件入口的程序,就是跟踪软件OEP的程序
他现在专职做软件的壳“幻影”就是他写的本人好厉害的~~~佩服ing~~~~~
他的"幻影"新版出来了,他还提供定做壳的项目哦~就是贵了一点~
自己写壳也很简单的只要搞清楚“流”和“内存”的问题就很简单的,,我就用Delphi写了一个“壳” 就是太大了!~用Delphi写壳~~哈哈笑话~12K的壳呀晕~~哦,C我也了一个15K的壳好大呀~~~~~~壳最好用Masm写,我正在学asm~~~~
(7)Anti-AntiVirus就是反~~杀毒软件,大家知道一般的加壳软件,是用来
压缩加密软件的目的是减小软件体积,防止Cracker的跟踪和反汇编的,但是木马壳加密技术不是用在对付Cracker上他是用来和杀毒软件对抗的,所以一般的壳不能胜任的,这里建议有能力自己编写,没有能力还是用别人的吧~~这里推荐一款ANTI AntiVirus的软件,它可以自定义查杀目标!呵呵现在有的木马已经有这个功能了,但是国产的木马很少有这种功能的呵呵~这里推荐一个名叫ANTI AntiVirus的软件~这款软件可以在你要保护的软件上形成一层保护壳自定义查杀目标,你可以自己定义~~呵呵
(8)还有~~~~~不说了再说的话~~~有的老鸟就要把我杀了~~~~~~~`
我泄露他们的机密了!呵呵~~~~~~~~~~~~