按照实际案例用常用的查壳去壳和加壳工具说明使用方法
除了穿花衣服迷惑杀毒软件,木马还会套上盔甲,缩在乌龟壳中,念着:你咬我呀,你咬我呀,从容不迫地躲过杀毒软件的查杀……
壳就是木马的盔甲
盔甲是人类在战争中发现的一种保护全身的防御武器(盔保护的是头部,甲保护的是身体),穿上盔甲后的防护力大大增强,提高了战场上存活的几率,而同样有提高生存能力需求的木马,也打起了盔甲的主意。
木马怎么才能穿上盔甲呢?经过探索它们发现,有的软件为了保护自己的源代码不被人窃取,而使用加壳的保护手段,简单地说,就是给软件的穿上盔甲,软件还是正常的工作,但看不到盔甲内的本体(直接反编译的方法行不通了)。这个原理正好开源满足木马的需求——躲过杀毒软件查杀且不影响木马的正常使用。
于是,加壳这个方法就成为木马免杀的主要方法之一,各种千奇百怪的壳应运而生(在百度以关键词“加壳软件”进行搜索,可以看到197万条搜索结果),加不同的壳就可以延伸不同的变种,有一种撒豆成兵的效果,所以加壳成为木马免杀的两种较常用的方法之一。
盔甲能无视杀毒软件吗
加壳的效果到底如何呢?是不是真的可以躲过杀毒软件查杀呢?在了解黑客工具之前,我们来实验一下。首先,登录在线病毒扫描网站(www.virscan.org),点击“浏览”,选择准备好的木马文件,然后上传并进行扫描,扫描结果如图1所示,有44%的杀毒软件发判断该文件为病毒。接着,我们使用加壳工具,为木马文件加壳免杀,再上传扫描,扫描结果如图2所示,有25%的杀毒软件判断该文件为病毒。
本次试验中的木马比较生僻(跟上期加花免杀实验使用的是同一款木马,加花免杀后有28%的杀毒软件发现问题;加壳免杀后有25%的杀毒软件发现问题),较少人使用。免杀前国内主流杀毒软件基本上都可以检测出问题,表现不错;免杀后,国内主流杀毒软件都没有发现问题(图3)。
此外,我们又经过多次实验,发现不同壳的免杀效果大相径庭,越是生僻的壳越容易躲过查杀,可见杀毒软件也不是省油的灯,木马跟杀毒软件的“军备竞赛”、免杀与反免杀的较量将一直持续下去。看到这里,大家是不是想问,木马是用什么黑客工具加壳的?请接着往下看。
工具名称:Yoda's Crypter
工具特点:具备反脱壳功能
工具大小:50KB
Yoda's Crypter是一款来自国外的加壳工具,关注度较少,所以相对国内的大多数加壳工具成功率较高。下载汉化版(图4)并运行,在软件界面中,单击“文件”后面的按钮,载入木马文件,然后勾选“CRC自检验破坏时退出程序”、“反脱壳(脱壳时死机)”、“删除入口点信息”和“API伪装”。
这么做的好处是,可以提高壳的保护能力和伪装能力,抵抗杀毒软件的查杀,效果非常明显。而另外两项作用不大,副作用还不小,建议大家不要勾选。最后,点击“生成”按钮,一个加壳免杀的木马就炮制出来了。
靠数量取胜
工具名称:超级加壳工具
工具特点:提供多种类型的壳
工具大小:950KB
超级加壳工由国内黑客高手编写,最大的特点就是提供的壳种类丰富,每种壳的效果都不一样,这么多壳中总有可以躲过杀毒软件,所以该工具也非常受黑客的欢迎。下载软件(图5),运行后在软件界面中,点击“选择要加壳的文件”后面的案例,载入木马文件,然后在“壳的类型”中选择一个,例如Fsg2.0、Morphine DLL等都是不错的壳,最后点击“加壳”即可。该工具有很多可以深入研究的壳,大家私下可以好好研究。
木马伪装系列结束了,从下期开始,我们将为大家揭秘威胁QQ用户的三中黑客“武器”,它们各自有什么特点?又如何威胁广大QQ用户的呢?下期更加精彩,不容错过!
防范免杀过的网页木马
在上期,我们说了如何防范*了免杀木马的文件,上期的方法能对付杀过的网页木马吗?不能,网页木马才不会给你机会捉到本体(自动运行了),上传到多引擎在线病毒扫描网站进行验证。
那免杀过的网页木马如何防范呢?最有效、最方便的方法是安装一款能拦截网页木马的安全辅助工具,例如安天的锐甲、金山网盾、360安全卫士、瑞星卡卡助手等,它们并不仅仅靠特征码来甄别网页木马,还会检测网页中是否有挂马的相应恶意代码,可以提前阻止网页木马激活。
除了使用安全辅助工具,一些能过滤挂马代码的浏览器也是考虑的,例如IE 8,如果过滤了挂马代码,网页木马就无法正常运行,自然就不怕它免杀了。如果网页木马突破了这些防御,就只能靠杀毒软件了,所以一定要确保杀毒软件开启了注册表监控,网页木马就算能骗过杀毒软件也要修改注册表,一旦不明程序要修改注册表,就要提高警惕,如果条件允许,最好用杀毒软件全盘查杀一道。
按照实际案例用常用的查壳去壳和加壳工具说明使用方法相关推荐
- 查壳去壳和加壳的使用指南
一.查壳去壳和加壳 壳的定义 计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序.它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务 查壳 查壳软件 fileinfoexe( ...
- Linux系统运维人员常用速查表
Linux系统运维人员常用速查表 walkingcloud 2020-08-09 19:55:41 Linux系统运维人员常用速查表 1.awk速查表 2.bash速查表 3.firewall-cmd ...
- Java中构造方法的案例及常用类int lenght类的使用方法举例,new实例化对象方法,静态方法实例方法的举例
目录 一.前言 二.构造方法的案例 2.1代码部分 2.2运行截图 三.常用类int lenght类的使用方法举例 3.1程序代码 3.2运行结果 四.new实例化对象方法例题 4.1程序代码 4.2 ...
- 逆向工程-查壳去壳和加壳的基本原理
逆向工程-查壳去壳和加壳的基本原理 这里先说明一下壳的概念,壳主要是负责保护软件不被非法修改和反编译的程序. 它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务. 查壳的基本原理:像PE ...
- 木马病毒隐身穿墙术解密之修改特征码和加壳
木马病毒隐身穿墙术解密之修改特征码和加壳 作者:比特网 | 比特网 本文关键词:安全 病毒 木马 现在,木马病毒在各种安全防范措施的拦截之下,依然没有任何减少的迹象,甚至还在向更多的方向发展.在防范木 ...
- SQLite数据库常用语句及MAC上的SQLite可视化工具MeasSQLlite使用
SQLite数据库常用语句及MAC上的SQLite可视化工具MeasSQLlite使用 一.引言 在移动开发中,通常会用到一些小型的数据库进行数据管理.SQLite是一款十分小巧便捷的数据库,在iOS ...
- 搜索光纤测试软件,了解光纤的常用工具及使用方法
原标题:了解光纤的常用工具及使用方法 兄弟们在工作时 对光纤都了如指掌 各种光纤工具也都熟练使用 可是你真的了解它们吗? 一起来看一下详细介绍 一.光纤剥线钳 光纤剥线钳是一种用来剥离紧包光纤的光纤工 ...
- cs免杀之基于混淆和加壳
写在前面 最近也是没什么状态以及被身边人,事,物所受影响,环境对自己的影响也是非常大,但是随着时间的变化一切也都会改变,离群所居者,不是神灵,就是野兽,所以说需要脱离这种状态,找到自己人生中明确的方向 ...
- 工具类的方法怎么引用_Hutool中那些常用的工具类和方法
Hutool是一个Java工具包,它帮助我们简化每一行代码,避免重复造轮子.如果你有需要用到某些工具方法的时候,不妨在Hutool里面找找,可能就有.本文将对Hutool中的常用工具类和方法进行介绍. ...
最新文章
- 四、Input框改placeholder中字体的颜色
- Android RecyclerView添加Header头部
- PHP网站安全,PHP程序安全的几个措施
- Win10系列:JavaScript图形
- collection 和association 的区别?
- 所有OSGi套件的通用CXF请求拦截器
- SpringCloud |第二篇: 服务消费者(Ribbon)
- Oracle数据库表中字段顺序的修改方法
- 移动标准差以及移动平均值(movstd、movmean)
- 用foobar进行码率转换 适用与sacd-r转成低码率
- 事业单位资产管理系统解决方案:国有资产全生命周期管理监管体系
- NTC功率型热敏电阻
- 解决ie浏览器兼容ES6语法问题
- WIN10 注册表添加启动项
- c4d如何把文字贴在物体表面_C4D立体贴地面字基础知识点
- 新疆库尔勒市杜鹃河上演人禽共泳和谐相处画卷
- 新版正方教务系统模拟登录登录密码RSA加密破解
- foxmail怎么群发邮件
- 设计模式-->结构型模式-->代理模式
- 做DSP应该懂的56个问题,反正我已经收藏了!