木马技术补充：木马加壳

说了好几次，要发个加壳的教程，一直都太懒，只好把别人写的简单整理一下，大家莫怪哦。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

其实在我们从网站上下载的许多木马，都是被开发者处理过并加过壳的。
加壳的全称应该是“可执行程序资源压缩”，是保护可执行程序最有效的手段之一。
所谓加壳，其实是指利用特殊的算法，对EXE、DLL文件中的资源进行压缩的方法，这个压缩之后的文件可以独立运行，解压过程完全隐蔽，都在内在中完成。
解压原理：是加壳工具在文件头里加一段指令，告诉CPU怎样才能解压自己。由于现在的CPU速度是很快的，所以在解压过程中你一般发现不了运行速度有下降。
当你加壳后的程序执行时，就相当于给你的可执行程序加上个外衣。用户执行的只是这个可执行程序的外壳程序。当你执行这个程序序的时候，壳就会把原来的程序在内存中解开，解开后再把控制权交给真正的程序。
但加壳并不同于完全的解压缩的压缩，像RAR和ZIP这些压缩工具解压时需要对磁盘进行读写，而壳的解压缩是直接在内存中进行的。
加壳的用途有二：
一、防止反跟踪，即防止程序被人跟踪高度，防止源代码被窥视。
二。将恶意程序包装起来，逃过杀软监视。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
壳分为压缩壳、密码壳、加密壳三种。顾名思义，压缩壳只是为了减小程序体积对资源进行压缩，常见的压缩壳包括FSG、ASPack、UPX、北斗等；加密壳也就是常说的保护壳、猛壳，它对程序输入表等内容进行加密保护，具有良好的保护效果，常见的加密壳包括ASPROTECT、ACPROTECT、PELock、幻影等；密码壳平时使用得不多，加密壳的程序只有在正确输入密码后才能运行。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
目前比较流行的加壳工具有：UPX、WWPACK等等。使用这些程序只需进行简单的设置就可以对软件进行加壳。
那么，是不是加了壳的木马就一定能躲过任何杀毒软件的监控呢？
由于在程序执行之前，由于壳的保护，杀毒软件的文件监控一般不能发现壳内的源代码。但一旦程序执行以后，完成脱壳过程，那么跟踪内存的杀毒软件会很快发现内存中正在运行的木马，最后将之杀掉。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
打开ASPack，在打开文件界面中，把木马添加进来。完成添加后，将自动跳转到“压缩”界面中，加壳开始。
完成加壳后，单击“压缩”界面中的“测试”按钮，以测试是否可以运行。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
如何识别加壳的木马
运行一个小软件PEiD，点文件右侧的打开（省略号图标）。它几乎可以检测到所有的被打包、掩藏和编译的PE文件。它的侦测数量可达450种之多。甚至可以检查出木马文件是用什么程序编写的。
另外language2000也是一款非常强大的木马壳检测工具。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
如何脱壳
脱壳是程序员的最爱（剽窃源代码）。由于有些木马是要先脱壳以后再进行加壳的，所以脱壳对我们而言也有有意义的。
首先要知道，软件是用什么程序进行加壳的，这样我们才方便脱壳。
一、UPX脱壳：
把加壳后的程序添加进来，单击“解压缩”继续。
脱壳到一半时，会弹出“另存为”对话框，在文件名中输入文件名，保存即可。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
为什么我加的壳逃不过病毒的眼睛？
　如今黑客使用病毒加壳，主要是对使用的木马等恶意程序进行保护，从而避免它们被杀毒软件所查杀。比如大名鼎鼎的冰河木马，原版本被作者用UPX加壳，可是这种加壳方式已经被杀毒软件列入封杀名单。
　　所以人们现在要使用冰河的时候，首先需要将原来的UPX壳脱掉，接着通过修改特征码、修改程序入口地址、加花指令等不同的方法进行免杀操作，然后再加壳进行保护，这样一个免杀的冰河木马就诞生了。当然有的人可能不会去进行麻烦的免杀操作，所以只要对脱壳的服务端程序进行多层加壳即可，不过一般都是先加加密壳，再加压缩壳，顺序不能颠倒。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
如何测试我的木马是否免杀？
www.virustotal.com
这个是世界反病毒网，里边有很多款世界著名杀软，免费在线查毒。如果你想测试你做的客户段的免杀程度的话，就来这里测试好了
注意：上传样本的时候一定要选择“不发送病毒样本”，不然就会上报给杀软公司，这样你辛辛苦苦做的免杀就白做了。本文出自 “无忧博客总站” 博客，请务必保留此出处http://51bbs.blog.51cto.com/171675/148231