论文部分内容阅读
第一次加壳操作
通过我们进行第一次加壳,都是选择加密性比较好的壳,比如国产的PE-Armor就是这样的一款加壳程序。该加壳程序的特点是可以伪装成其他壳,并有很强的反跟踪,其强度、兼容性和稳定性都不错。首先下载运行PE-Armor程序后,点击操作界面中“处理”标签中的按钮,来选择需要进行加壳处理的木马文件。接着点击窗口中的“保护”按钮,程序将按照默认的设在进行加壳处理。
如果用户需要获得更好的加壳效果,可以选择程序的“设置1”标签。这其中有很多的选项可以选择。其中“特殊代码加密”可对程序中的某些代码进行处理,不通过编程将很难将改变的代码还原。有效提高加密后软件的安全性。“输入表加密”可以对程序的输八表进行处理,在程序运行的任何时间,内存中都不会出现完整的输入表。并且采用的算法可有效抵抗Import REConstructor等工具的自动还原。使用“输入表加密”后程序,将监视LoadLibrary和GefProcAdd ress函数,利用它可以判断程序是否带外壳执行。然后再切换到“设置2”标签,选中窗口下方的“将自身伪装为”选项,从下拉列表中选择一个伪装的项目。其中包括AsPack、UPX、幻影等常见的壳,以及各种各样的程序语言,这样检测工具还以为是用其它壳进行的操作。
进行资源重建
由于对木马程序进行加壳处理后,需要对木马文件的资源进行重建,不然就会出现二次加壳失败的问题。现在运行FreeRes这款分析工具,它可以分析和重建被压缩的资源。运行FreeRes并点击工具栏中的“打开文件”按钮,选择刚刚加壳的木马服务端程序文件。这时弹出一个提示窗口,告知用户“载八资源错误,它可能已被压缩,你是否需要释放资源进行分析?”,这里我们直接点击“是”按钮。这里需要特别声明的是。在重建资源的时候FreeRes会运行当前正在处理的文件。所以我们最好首先运行Ollylce,将前面加壳处理后的木马载入到软件窗口,这样就可以模拟运行加壳后的木马程序。最后点击“功能”菜单中的“建立可编辑资源”命令,这样就可以成功的给加壳的文件进行资源重建。
第二次加壳操作
现在运行另外一款加壳软件TroJka crypter,首先点击“浏览可执行文件”选项后的按钮。在弹出的窗口选择需要加壳的木马服务端文件。接着点击“图标修改”选项后的按钮,在弹出的窗口选择要使用的图标文件。或者选择一个可执行文件,这样程序就可以自动提取文件中的图标信息。点击“更多图标”按钮,也可以选择程序自带的一些图标。
现在在“选项”设置中可以根据需要来选择相应的一些功能选项。比如“反虚拟机”和“反沙盒”等。这样当服务端程序发现自己在这种环境中,就会拒绝运行避免自身在这些环境里面现出原形。另外还可以设置一个虚假信息,在运行的时候来欺骗用户。设置完成以后,点击“加密”按钮可以完成加壳操作。然后再运行FreeRes给木马文件进行资源重建处理,这样就可以第三次进行木马文件的加壳处理。
通过我们进行第一次加壳,都是选择加密性比较好的壳,比如国产的PE-Armor就是这样的一款加壳程序。该加壳程序的特点是可以伪装成其他壳,并有很强的反跟踪,其强度、兼容性和稳定性都不错。首先下载运行PE-Armor程序后,点击操作界面中“处理”标签中的按钮,来选择需要进行加壳处理的木马文件。接着点击窗口中的“保护”按钮,程序将按照默认的设在进行加壳处理。
如果用户需要获得更好的加壳效果,可以选择程序的“设置1”标签。这其中有很多的选项可以选择。其中“特殊代码加密”可对程序中的某些代码进行处理,不通过编程将很难将改变的代码还原。有效提高加密后软件的安全性。“输入表加密”可以对程序的输八表进行处理,在程序运行的任何时间,内存中都不会出现完整的输入表。并且采用的算法可有效抵抗Import REConstructor等工具的自动还原。使用“输入表加密”后程序,将监视LoadLibrary和GefProcAdd ress函数,利用它可以判断程序是否带外壳执行。然后再切换到“设置2”标签,选中窗口下方的“将自身伪装为”选项,从下拉列表中选择一个伪装的项目。其中包括AsPack、UPX、幻影等常见的壳,以及各种各样的程序语言,这样检测工具还以为是用其它壳进行的操作。
进行资源重建
由于对木马程序进行加壳处理后,需要对木马文件的资源进行重建,不然就会出现二次加壳失败的问题。现在运行FreeRes这款分析工具,它可以分析和重建被压缩的资源。运行FreeRes并点击工具栏中的“打开文件”按钮,选择刚刚加壳的木马服务端程序文件。这时弹出一个提示窗口,告知用户“载八资源错误,它可能已被压缩,你是否需要释放资源进行分析?”,这里我们直接点击“是”按钮。这里需要特别声明的是。在重建资源的时候FreeRes会运行当前正在处理的文件。所以我们最好首先运行Ollylce,将前面加壳处理后的木马载入到软件窗口,这样就可以模拟运行加壳后的木马程序。最后点击“功能”菜单中的“建立可编辑资源”命令,这样就可以成功的给加壳的文件进行资源重建。
第二次加壳操作
现在运行另外一款加壳软件TroJka crypter,首先点击“浏览可执行文件”选项后的按钮。在弹出的窗口选择需要加壳的木马服务端文件。接着点击“图标修改”选项后的按钮,在弹出的窗口选择要使用的图标文件。或者选择一个可执行文件,这样程序就可以自动提取文件中的图标信息。点击“更多图标”按钮,也可以选择程序自带的一些图标。
现在在“选项”设置中可以根据需要来选择相应的一些功能选项。比如“反虚拟机”和“反沙盒”等。这样当服务端程序发现自己在这种环境中,就会拒绝运行避免自身在这些环境里面现出原形。另外还可以设置一个虚假信息,在运行的时候来欺骗用户。设置完成以后,点击“加密”按钮可以完成加壳操作。然后再运行FreeRes给木马文件进行资源重建处理,这样就可以第三次进行木马文件的加壳处理。