木马病毒的加壳操作（如何防范木马和病毒）

什么是加壳程序，为什么要加壳？

加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩，

改变其原来的特征码，隐藏一些字符串等等，使一些资源编辑软件不能

正常打开或者修改。类似WINRAR的效果，只不过这个压缩之后的文件，

可以独立运行，解压过程完全隐蔽，都在内存中完成。

解压原理，是加壳工具在文件头里加了一段指令，告诉CPU，怎么才

能解压自己。现在的CPU都很快，所以这个解压过程你看不出什么东东。

软件一下子就打开了，只有你机器配置非常差，才会感觉到不加壳和加壳

后的软件运行速度的差别。

当你加壳时，其实就是给可执行的文件加上个外衣。用户执行的只是

这个外壳程序。当你执行这个程序的时候这个壳就会把原来的程序在内存

中解开，解开后，以后的就交给真正的程序。所以，这些的工作只是在内

存中运行的，是不可以了解具体是怎么样在内存中运行的。

通常说的对外壳加密，都是指很多网上免费或者非免费的软件，被一

些专门的加壳程序加壳，基本上是对程序的压缩或者不压缩。因为有的时

候程序会过大，需要压缩。但是大部分的程序是因为防止反跟踪，防止程

序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，

保护你的程序数据的完整性。不被修改或者破。（有些木马和病毒利用加

壳伪装成正常程序）

参考资料： http://zhidao.baidu.com/question/95004366.html

如何给病毒加壳?

我说个简单的方法 修改PE头 插花指令 再加个壳 再用系统自带的捆绑软件iexpress ok了

（一）壳的概念

作者编好软件后，编译成exe可执行文件。 1.有一些版权信息需要保护起来，不想让别人随便改动，如作者的姓名，即为了保护软件不被破解，通常都是采用加壳来进行保护。 2.需要把程序搞的小一点，从而方便使用。于是，需要用到一些软件，它们能将exe可执行文件压缩， 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能，这些软件称为加壳软件。

（二）加壳软件最常见的加壳软件

ASPACK ，UPX，PEcompact 不常用的加壳软件WWPACK32；PE-PACK ；PETITE NEOLITE

（三）侦测壳和软件所用编写语言的软件

因为脱壳之前要查他的壳的类型。

1.侦测壳的软件fileinfo.exe 简称fi.exe（侦测壳的能力极强）。

2.侦测壳和软件所用编写语言的软件language.exe（两个功能合为一体，很棒），推荐language2000中文版（专门检测加壳类型）。

3.软件常用编写语言Delphi，VisualBasic（VB）---最难破，VisualC（VC）。

病毒要想生存，除了增加自身的变形能力以外，还可与程序加壳压缩联系起来。我们先来看看病毒变形的目的，因为现在的反病毒软件，基于特征码检测，增加变形能力，使得特征码检测方法更加困难。那么，如果再和程序加壳技术结合起来，那么将使的单单通过添加特征码方法解毒彻底失效，解毒时，必须同时更新扫描引擎，而现在并没有通用的解壳方法。因此加壳压缩和变形结合起来，将使得反病毒厂商手忙脚乱，也使得反病毒软件用户痛苦不堪，频繁的更新，除了特征码，还有扫描引擎。给平常的病毒加个壳，比如用upx，现在通常反病毒软件，对于常用的加密加壳压缩程序，都有相应的解壳程序。效果并不好，所以如果病毒本是既是一好的变形加密加壳压缩程序，那么，目的是强迫更新扫描引擎，当然也是可以被动态解压检测出来的，只是增加了解毒的很多工作量。实际上加壳技术不仅仅用于软件保护，也可用于好的病毒。好的病毒不一定要非常快的传播速度，难于检测，难于查杀更重要一些，就像现在杀毒界的虚拟机技术，也不过是个雏形，有很多的功能并不能完全虚拟化，同时若加壳代码本身可变形，同时有多种加壳算法可供随机选择，那么就很难找出其中的规律以及关系。总之，好的杀毒软件至少应该具有的技术功能之一就是要具备压缩还原技术：对Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等几百种压缩加壳软件自动还原，彻底解除隐藏较深的病毒，避免病毒死灰复燃。

什么是木马的加壳和脱壳

一.穿马甲—木马加壳的实现

什么是加壳？

所谓加壳.其实是指利用特殊的算法.对EXE. DLL文件里的资派进行压缩的方法.这个压绷之后的文件可以独立运行.解压过程完全a蔽.都在内存中完成。加壳一般有两种用途:

一是大部分的程序是因为防止反跟踪.防止程序被人跟踪调试，防止算法程序不思被别人静态分析。加密代码和数据.保护程序效据的完枯性，不被修改或者窥说程序的像代码。

二是将一些恶愈程序包装起来.进过杀雌软件的监视。从而实现自己的fl的.如加壳后的木马程序。显然.我们这里的加壳主要是针对第二种情况。

2.加壳实战

听起来.加壳是个很复杂的操作.但实际上我们并不循要自己去编写加壳程序来为谏程序进行加充。日蔺.成热的、免费的第三方加先程序非常多.如UPX. WWPACK等等。使用这些程序。只需进行简单的设置.就可以对自己的软件进行加壳。比方说灰鸽子的服务器端就是使用UPX加壳的。

那么.是不是加了壳的水马就能够成功的躲过任何杀毒软件的监控呢?事实上.在没有脱壳之前。的确能够发理壳内谏代码的杀毒软件还不多.但是一且加壳的木马被执行之后。完成了脱光的过程.那么跟踪内存的杀毒软件会很快的发现内存中正在运行中的木马.最后将之杀掉。实际上。国内很多杀毒软件已经拿握了检洲加壳恶愈程序的技术。如.在从服务器中下载加壳的木马服务器端程序时.就会弹出如I'd所示的提示。

从图中可以粉出.Setup.cxe文件中包括了加壳技术已经被检侧出来了。那么.恶愈程序是如何实现加光的呢?木马加壳的技术实际上很简单.当一个服务器劝的EXE程序生成好后.111以很轻松地利用ASPACK, UPX, WWPACK等这些第三方的程序进行加壳操作。下面.让我们来村肴如何使用AS Pack汉化版对一个程序进行加壳，其体过程是:

第1步：下载ASPack汉化版.

第2步：在“选项.设it界面中.在语言一列表中选择"Chinese"项.使软件界面转为汉化形式.如图所示。

第3步：在“打开文件一界面中.将准备进行加壳的程序添加进来.这哄添加的是压编程序Winter.如图所示。

第4步：在完成软件的添加后.将立即跳转到.压缩’界面中，此时可以肴到软件的加光操作己经开始。如图所示。

第5步：在完成加壳后.可以单击“压缩.界面中的.侧试.按钮.侧试一下加了壳后的程序能否运行。如果出现程序界面.荆表示加壳成功。如果是对恶愈程序进行加壳.一般就不要点击了.否."1稗后工作将会很萦琐。如图所示。

与加壳相反的过程称之为.脱壳二n的是把加壳后的程序恢艾成毫无包装的可执行代码，这样未授权都可以对其进行修改。“脱壳’的过程与.加壳，的探作栩似.沮不同是的“加壳.

软件.需要使用不间的“脱壳.软件。人役者必裕知进目标程序使用的是哪种.加光，软件进行加壳的.然后再用对应的“脱充.软件进行脱壳即可。简单地来说.加壳与脱壳就相当于加密和

解密的关系。

如何对木马，病毒进行加壳，有什么代码或者软件可以用？

第一步

在“运行”对话框中输入IExpress就可启动程序

在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项，然后点击“下一步”按钮。[!--empirenews.page--]

第二步

接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。[!--empirenews.page--]

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

如何给木马加花指令 加壳 做免杀等

免杀，顾名思义就是说避免被杀毒软件查杀!

免杀的方法也有很多种，针对不同的情况我们运用不同的免杀方法。

⒈文件免杀:加花/修改文件特征码/加壳/修改加壳后的文件。

⒉内存免杀:修改特征码。

⒊行为免杀。

现在我来揭开免杀神秘的面纱。(这里不对免杀做深入讨论，只对原理进行分析，毕竟这不是黑客教程)

加花

加花是病毒免杀的常用手段，加花原理就是通过添加加花指令(一些垃圾指令，类似加1减1之类的无用语句)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。(只做了解，不做解释)

特征码修改

加花以后一些杀毒软件就认不出来了，但有些比较强的杀毒软件，像卡巴斯基这类，可能还是会被杀，这时就要定位特征码修改了，要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，特别是复合特征码的定位，但复合特征码虽然增加了定位特征码的难度，但复合特征码也有它的弱点，因为定义复合特征码需要单个特征码几倍的病毒库，不方便用户的病毒库升级，所以除了特别流行的病毒，杀毒软件厂商并没有做太多的复合特征码。

定位了特征码之后就应该修改特征码了，主要方法有两种:直接修改法，跳转修改法。

直接修改法利用的是等效指令替换，或者指令顺序的改变不影响执行的效果。还有一种是如果特征码是ASCll码，可以直接修改大小写，大写替换小写，小写替换大写。

跳转修改发比较简单，主要原理是把有特征码的那段NOP掉，然后把NOP掉的那段语句写入空白的0000区，在通过JMP跳转连接起来，让杀毒软件找不到特征码，从而达到免杀的目的。

加壳

加壳的原理是给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件先运行壳再运行真实文件，从而起到保护作用。

脱壳当然就是去掉保护程序

想要加壳后能达到免杀的效果

那就要加最新的免杀壳!!!!

要采纳哈。