黑色海岸线论坛 - Powered by Discuz! Board

标题: [转帖]木马加壳为什么躲不过内存查毒？ [打印本页]

作者: 飛鳥 时间: 2004-10-9 18:58 标题: [转帖]木马加壳为什么躲不过内存查毒？

X:为什么我的木马被杀了? HEART:加壳了吗? X:当然了~UPX V1.90最新的壳 HEART:.............. 我经常遇到别人这么问我~到底为什么加壳以后还会被杀? 其实此加壳非彼加壳从最简单的开始说吧~ 瑞星的内存杀毒大家一定知道吧~`好象是从2003开始的以前的查毒都是特征码查毒~通过特定代码查毒的~加个壳就可以躲过,但是现在的内存查毒是通过在内存中查找病毒特征码来查毒的`` 这个地方要提到加壳软件的种类和外壳原理了~ 先说说加壳软件的分类吧. 加壳软件通常可以分为压缩保护,和加密保护什么是压缩保护和加密保护呢~ 1.压缩保护就是利用特定的压缩算法(就象WinZIP一样)把木马压缩打包运行的时候在内存中解压释放程序本体再运行(都是在内存中完成的:D)..由于压缩保护注重的是压缩(使程序体积变小)附带反反编译和反调试功能.就拿UPX来说~他就是压缩没有反调试功能和其他功能甚至只要找到OEP(程序入口点)就可以脱壳了(在内存中完全还原),这样杀毒软件就可以同样在内存中查到完整的木马本体代码了. 常见的压缩保护有: UPX ASpack Petite PECompact PE-PACK WWPack32 NeoLite Shrinker PKLITE32 等(都有直接的脱壳机) 2.加密保护:这类软件主要注重的就是加密和保护软件,所以反反编译和反调试功能就很完善(甚至锁定自身在内存中的进程不让别的进程插入进来),大家一定经常听到一些Cracker说ASProtect的壳难脱吧~为什么呢?就是因为他反调试,而且还是加密的本身代码几乎全变了(本体加密分段解密---用那段解哪段:D病毒技术的哦)~29A的主页上有很多这样的文章的~自己看一下~不过English一定要过得去哦~-->~好了继续说吧~加密保护的外壳在内存中也是不断跟踪的,反调试(用什么SEH技术~我也才接触我只会TRY做一些简单的异常处理~`嘿嘿~```)总之就上很难得到本身代码了(和你说了你也不知道~你要是知道用什么方法加密的也不会来看这个了~~哎呀~~不要打我哦)~所以平常的"老鸟"说的加壳都是指加密保护的外壳~但是加密保护的外壳一般压缩方面都不怎么样的~附加:甚至还有加壳以后比不加壳还大的事情....... 常见的加密保护的软件: ASProtect(强!!!!!!!!!最难脱的壳~~压缩技术也好) tElock(我喜欢大家一定喜欢这个东西的特别的好东西~`原因?不说~嘿嘿) Armadillo(这个东西加密保护后很大) SVK Protector Xtreme-Protector Obsidium PElock 当然还有好多我就不说了~`以后有机会就发出来好了说了分类和两种外壳的加密原理大家都知道了吧~.以后要加壳的话就用加密软件了~当然一些出名的杀毒软件作者也知道这种事情所以也作出了防范~就是查毒之前事先检查软件是否加壳如果加壳的话就~脱掉他然后再查毒~~当然道高一尺魔高一章至于怎么做那就是~~~~~多重加壳~原理:他能脱一个我们就加两个看他怎么脱~加个里三层外三层~看他脱得过来吗(一般杀毒软件只查一层壳如果脱多了~查毒速度就慢了所以~嘿嘿~~`自己想~)~多重加壳的教程我以前写过大家可以自己看: 多重加壳:原题:----打造属于自己的壳！！！！(初级篇----高手跳过~~) 下面的看法纯属个人看法：（以前是拿来保护自己的共享软件用的） (1)用ASpack加两壳大家知道用一种加壳软件加过壳后是很难加第二种壳的但是ASpack可以怎么用呢(以upx为例) 用upx加过壳后，打开ASPack用2.12版哦选择--------选项项目，开始设置把“压缩资源”和“最大压缩”去掉”保留额外数据“选上然后打开你用UPX压缩过的程序，看见了吧可以压缩是吗，呵呵别的壳你也可以试试（不保证通用哦） (2)加多壳，但是这次不是用ASpack加了，他太。。。。。多用户了这里找两个不同的壳和一个软件名字叫freeres 0.94最高版本了--希望大家去注册~~支持国产软件你看作者也满辛苦的~~我同情ing~~~~~~~~~好了说正事了找一个加好壳的木马然后打开FreeRES（还是推荐大家注册，作者太可怜了~注册才15圆~真的）选择你的木马，然后freeres会提示“软件已经加壳是否需要分析软件资源”选择是然后按上面的"功能菜单"选择“释放资源”不能选就不选了，接下来选择“建立可编辑资源” 点即"OK"完成~~~~~~了，好了你现在可以用的准备的第二个加壳软件加壳了~~ 也可以重复以上步骤加“三壳”~~but 用此方法加的软件每次会大20多K！（不是百试百灵哦80%机会，不保证通用） (3)换壳其实很简单就是把原来的壳拖了换另一种壳，我比较喜欢FSG的壳这个壳变态呀~~~~~~ 不但可以加VC,VB,Delphi 等程序之外还可以加asm写的程序，我用masm写了一个1.7k的程序 FSG把我程序加成856b了晕~~~~~~呀，它的壳也不好脱~加了壳的程序只有两个节还没有名字，可恶呀~~~~~~~~~反正变态了~~~~~~好的加壳软件国外很多，找不到可以联系我~~~ (4)用GUW32脱了再加用GUW32脱壳脱的不干净~~这是缺点也是优点哦~~~~~~~~~~ 先加一个GUW32可以脱的壳，他可以脱市面上80%的壳，连你没见过的都有~~~~ 加了以后用GUW32脱，脱了以后找一个不常用的壳在加，呵呵~~~大家千万别去UG2002组织告发我哦~~~~~~~~~~~~ (5)用UPXpr技术处理再加壳这种做法是真对上面(4)的方法写的，因为有的时候GUW32能脱的干净，所以我们就要想办法让他不干净，对！不干净~~~别乱想哦，先用UPX加壳在用16进制编辑器打开它，本人喜欢使用HEX workshop!其他人请自便呵呵~~~打开你加好的木马看见文件头UPX0,UPX1,UPX!了吗那就是UPX的脱壳标志，呵呵改呀，随便改成什么，这里我改成TEXT,CODE,HAHA,好了！现在用GUW32脱壳，为什么不用UPX脱呢？？白痴~他脱不掉呀！我们不是处理过了吗！好了GUW32脱好了，现在用别的加壳软件加壳吧怎么样可以了吗！呵呵~~~~~~~~~~~ (6)定做加壳软件或自己写壳以前有一个高手叫D.boy，大家可能听说过他的"冲击波0.2"不是病毒哦~~~~~ 是一种可以跟踪加壳软件入口的程序，就是跟踪软件OEP的程序他现在专职做软件的壳“幻影”就是他写的本人好厉害的~~~佩服ing~~~~~ 他的"幻影"新版出来了，他还提供定做壳的项目哦~就是贵了一点~ 自己写壳也很简单的只要搞清楚“流”和“内存”的问题就很简单的，，我就用Delphi写了一个“壳” 就是太大了！~用Delphi写壳~~哈哈笑话~12K的壳呀晕~~哦，C我也了一个15K的壳好大呀~~~~~~壳最好用Masm写，我正在学asm~~~~ (7)Anti-AntiVirus就是反~~杀毒软件,大家知道一般的加壳软件，是用来压缩加密软件的目的是减小软件体积，防止Cracker的跟踪和反汇编的，但是木马壳加密技术不是用在对付Cracker上他是用来和杀毒软件对抗的，所以一般的壳不能胜任的，这里建议有能力自己编写，没有能力还是用别人的吧~~这里推荐一款ANTI AntiVirus的软件，它可以自定义查杀目标！呵呵现在有的木马已经有这个功能了，但是国产的木马很少有这种功能的呵呵~这里推荐一个名叫ANTI AntiVirus的软件~这款软件可以在你要保护的软件上形成一层保护壳自定义查杀目标，你可以自己定义~~呵呵 (8)还有~~~~~不说了再说的话~~~有的老鸟就要把我杀了~~~~~~~` 我泄露他们的机密了！呵呵~~~~~~~~~~~~

作者: 飛鳥 时间: 2004-10-10 18:18 标题: [转帖]木马加壳为什么躲不过内存查毒？

这么好的文章没人看么？

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)