木马伪装之四大法宝_新闻资讯_中关村在线种植

发布时间：2020-04-19 14:51:25 阅读：次来源：花岗岩厂家

木马伪装之四大法宝_新闻资讯_中关村在线

《网友世界》上已经介绍过很多功能强大的木马，相信大家已经从中找到了自己的“千里良驹”。不过在使用木马的过程中，大家往往会遇到一个很实质性的问题，就是木马服务端的反查杀。比如网络神偷、灰鸽子、广外等这些大名鼎鼎的木马，无人不知无人不晓，就连用ASPACK或是UPX为它们加了壳以后，也常常会被杀毒软件查出来。而一些新出还不是很著名的木马，用不了多久很快也会被杀毒软件列入黑名单中。

有什么办法可以为木马掩去锋芒，避过杀毒软件的查杀呢？当然还是手动加壳！不过我们不会再用ASPACK或是UPX这些加壳软件，因为它们是最常用的，但同时也是失效最快的，所以我们要用一些另类不常见的加壳软件来为木马加壳，让最新的杀毒软件都无法识别出木马来。下面就跟我来挑战杀毒软件，品尝自己加密木马的过程吧。

一、幻影加壳，可障法眼

“幻影”加壳软件是一个为 Windows 下的EXE,DLL,OCX.32位可运行文件加密系统。软件下载地址是：http://www.3800cc.com/soft/2582.htm。本来是作为软件程序员为自己的软件设置版权保护的，不过在偶看来，为木马加密才是它最有前途的应用：）现在我们就利用它来为木马加上一层坚硬的保护壳。

在为木马客户端进行加壳前，首先要确保木马还没有被加过壳，如果木马已加过壳但依然被杀毒软件查杀，那么要先对木马进行脱壳，再用幻影进行加壳。这里假设已存在一个解壳过的木马端“TheefServer.exe”，用趋势杀毒软件对其检测，出现如图1所示的病毒报警提示。现在我们用幻影来对它加壳。

图1

小提示：侦测木马原来是否加过壳并进行脱壳，可以使用Peid、UPX、Aspack之类的软件，至于如何操作，在这里就不作过多的叙述了，以前的《网友世界》里已经介绍过很多了。

运行幻影可以看到软件使用界面很简单，在“加密程序”中浏览选择刚才的“TheefServer.exe”文件，然后点击工具栏上的“加密”按钮（如图2），幻影就开始先对木马端备份，将原来的文件更名为“TheefServer.exe_bak”，然后再进行程序压缩加密，很快就完成了加壳工作。

图2

现在我们再用杀毒软件检测一下新生成的“TheefServer.exe”文件，可以看到杀毒软件已经无法检测发出病毒报警了。木马已经顺利骗过了杀毒软件（如图3）。怎么样，很简单的就让杀毒软件失效了吧？

图3

二、YC保护专家，为木马提供保护

“YC保护专家”也是一个程序保护工具，是防止软件被Softice等工具调试破解的，用它来为木马加壳，也有违开发者本意，不过顾不了那么多了，看看它对木马的保护是多强的吧？

还是以刚才的“TheefServer.exe”木马文件为例，运行YC保护专家，浏览选择木马客户端，在保护选项中勾选如下几个选项“如果修改资源则损坏或退出”、“删除PE文件头”、“删除引入信息”，其中最关键的是后两项（如图4）。设置完毕后点击“保护”按钮，很快木马文件头信息就发生了改变，其中的病毒特征码也自然发生变化，而杀毒软件也无法识别出新生成的木马文件了。

图4

三、杀毒软件不识老外

WWWPack32是一个国外的压缩加壳工具，采用的加壳方式与一般软件有所不同，因此用WWWPack32加过壳的木马很难被杀毒软件识别出来，并且我们可以自己设定压缩加壳的等级。

运行WWWPack32后，首先选择需加壳的木马执行文件，在“Mask”中选择“PE Structure（EXE and DLL）”（如图5），然后点击工具栏上的“Setup”按钮，弹出压缩设置窗口，在“Commpression Method”中可设置压缩等级（如图6）。当然压缩的等级越高，花的时间越多，不过被杀毒软件查出的几率也越小。退出设置框，点击工具栏上的“Fileinfo”按钮，可以查看到木马程序中可被压缩的数据信息，以及在压缩后体积的变化（如图7）。

图5

图6

图7

一切设置完毕后，点击工具栏上的“Pack”按钮，即可对木马进行压缩加壳了，加过壳的木马同样不会被杀毒软件轻易识别出来。

四、病毒免疫器，让谁免疫？

“应用程序病毒免疫器”是一个特殊的程序保护工具，它本来是用来为程序加上一个病毒免疫头，保护程序不被病毒感染破坏的。不过笔者尝试用它来为木马病毒压缩加了个壳，却发现它对木马好像更是“保护关爱”，经它压缩过的木马居然不会被杀毒软件识别出来。

运行程序后界面如图8所示，点击“系统设置”可对软件做一些设置，不过这里我们是用它保护木马，所以这些设置不做反而好些。点击下一步，在这里选择要加壳保护的木马程序，并设置处理方式为“普通用户方式”即可（如图9）。点击下一步，设置程序为自动修复（如图10）；在下一步可以设置一些程序修复时的提示信息，最后点击下一步完成木马程序的保护过程（如图11）。

图8

图9

图10

图11

经过以上的操作，一般的杀毒软件已无法准确判断出木马来，同时木马本身也具备了对杀毒软件的免疫功能。当特殊情况下，杀毒软件发现了木马并对其隔离时，会破坏其文件头数据，不过由于木马具备了自身恢复的功能，所以杀毒软件的隔离将对其失效，木马依然还是可以运行的。