多重加壳让木马躲过查杀

来源 :网友世界 | 被引量 : 0次 | 上传用户:jiaoyang_204
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  第一次加壳操作
  
  通过我们进行第一次加壳,都是选择加密性比较好的壳,比如国产的PE-Armor就是这样的一款加壳程序。该加壳程序的特点是可以伪装成其他壳,并有很强的反跟踪,其强度、兼容性和稳定性都不错。首先下载运行PE-Armor程序后,点击操作界面中“处理”标签中的按钮,来选择需要进行加壳处理的木马文件。接着点击窗口中的“保护”按钮,程序将按照默认的设在进行加壳处理。
  如果用户需要获得更好的加壳效果,可以选择程序的“设置1”标签。这其中有很多的选项可以选择。其中“特殊代码加密”可对程序中的某些代码进行处理,不通过编程将很难将改变的代码还原。有效提高加密后软件的安全性。“输入表加密”可以对程序的输八表进行处理,在程序运行的任何时间,内存中都不会出现完整的输入表。并且采用的算法可有效抵抗Import REConstructor等工具的自动还原。使用“输入表加密”后程序,将监视LoadLibrary和GefProcAdd ress函数,利用它可以判断程序是否带外壳执行。然后再切换到“设置2”标签,选中窗口下方的“将自身伪装为”选项,从下拉列表中选择一个伪装的项目。其中包括AsPack、UPX、幻影等常见的壳,以及各种各样的程序语言,这样检测工具还以为是用其它壳进行的操作。
  
  进行资源重建
  
  由于对木马程序进行加壳处理后,需要对木马文件的资源进行重建,不然就会出现二次加壳失败的问题。现在运行FreeRes这款分析工具,它可以分析和重建被压缩的资源。运行FreeRes并点击工具栏中的“打开文件”按钮,选择刚刚加壳的木马服务端程序文件。这时弹出一个提示窗口,告知用户“载八资源错误,它可能已被压缩,你是否需要释放资源进行分析?”,这里我们直接点击“是”按钮。这里需要特别声明的是。在重建资源的时候FreeRes会运行当前正在处理的文件。所以我们最好首先运行Ollylce,将前面加壳处理后的木马载入到软件窗口,这样就可以模拟运行加壳后的木马程序。最后点击“功能”菜单中的“建立可编辑资源”命令,这样就可以成功的给加壳的文件进行资源重建。
  
  第二次加壳操作
  
  现在运行另外一款加壳软件TroJka crypter,首先点击“浏览可执行文件”选项后的按钮。在弹出的窗口选择需要加壳的木马服务端文件。接着点击“图标修改”选项后的按钮,在弹出的窗口选择要使用的图标文件。或者选择一个可执行文件,这样程序就可以自动提取文件中的图标信息。点击“更多图标”按钮,也可以选择程序自带的一些图标。
  现在在“选项”设置中可以根据需要来选择相应的一些功能选项。比如“反虚拟机”和“反沙盒”等。这样当服务端程序发现自己在这种环境中,就会拒绝运行避免自身在这些环境里面现出原形。另外还可以设置一个虚假信息,在运行的时候来欺骗用户。设置完成以后,点击“加密”按钮可以完成加壳操作。然后再运行FreeRes给木马文件进行资源重建处理,这样就可以第三次进行木马文件的加壳处理。
其他文献
现在杀毒软件在清除顽固病毒时,往往很难一次性删除干净,有的病毒文件需要重新启动系统。才会被彻底删除掉。不过,在重启系统的过程中,这些残留病毒文件可能自我复制,并强行抑制杀毒软件的运行。为了对付这些顽固病毒。想方设法防止病毒自我复制是关键;要做到这一点。可以借助系统自带的“磁盘配额”这款工具,控制病毒向磁盘写入文件,从而禁止病毒自我复制。  尽管“磁盘配额”工具主要是用来控制用户向NTFS磁盘分区写
期刊
PowerPoint 2003讲义打印    打开要打印讲义的演示文稿。然后,在“文件”菜单上,单击“打印”。在“打印内容”下的框中,单击“讲义”,然后在右侧的“每页幻灯片数”后的框中,单击“3”(如图1)。单击“确定”按钮,开始打印讲义。    PowerPoint 2007讲义打印     与PowerPoint ni 2003相比,PowerPoint 2007打印讲义的功能有所加强,具体操
期刊
自动完成认证    在Windows 7系统中上网访问或远程管理服务器时,总要输入登录账号,进行身份认证。一次两次,还能勉强凑台,如果频繁采用手工输入完成身份认证的话,既影响工作效率,丢失密码的话又影响登录。其实,Windows 7系统自带的凭据管理器功能,可以将频繁要输入的登录账号存储在本地。日后用户在上网填写表单或远程登录服务器时,该功能能自动完成身份认证操作,从而提升工作效率。  要自动完成
期刊
巧给照片补光、添加特效    我们打开Windows Live照片库。并打开一张要处理的相片。如果你的照片需要添加特效的话,我们可以在WindowsLive照片库中打开要处理图片,在“调整”中选“颜色”,我们在“选择颜色调整”中对照片的温度和色调调整进行选择(如图1)。  如果你的照片出现偏暗或者是偏亮,我们同样在windows Live照片库中打开要处理图片,在“调整”中选“曝光”。在“选择曝光
期刊
共享账号被人偷用    故障现象:最近,经常发现内网中有人偷用自己的共享账号,随意修改共享内容,造成重要内容丢失。  解决办法:共享帐号被人偷用,主要是恶意用户能够轻松获得对应帐号的SID,之后通过SID间接窃取得到共享帐号名称与密码。在系统组策略编辑窗口中,依次展开“计算机配置”、“windows设置”、“安全设置”、“本地策略”、“安全选项”,双击“网络访问:允许匿名SID/名称转换”组策略,
期刊
STEP01   首先,打开“控制面板”,双击“声音”快捷图标,在打开的“声音”属性窗口中,鼠标选中主窗口中的“扬声器”图标。然后再单击右下角的“属性”按钮,就可以进入“扬声器属性”设置窗口。    STEP02    接着,点击“扬声器属性”中的“级别”页面标签,在打开的“级别”页面中可以看到“Realtek HD Audio output”输出音量调节设置滑块,在滑块右侧的“平衡”按钮,就是
期刊
现在迅雷、QQ、飞信等越来越多的程序都具有最小化到系统托盘的功能,而在win7系统中,为了避免系统托盘有限的空间被过多的程序图标所挤占,我们右击系统托盘并选择“自定义通知图标”,打开“通知区域图标”窗口,然后在这个窗口中就可以对具有最小化到系统托盘的程序图标进行“显示图标和通知”、“隐藏图标和通知”或“仅显示通知”等个性化的设置了。但无论在家还是在单位,别人或多或少地使用自己的电脑总是难免的,如果
期刊
关闭默认共享封锁系统后门    wlndows 7在默认情况下也开启了网络共享,虽然这可以让局域网共享更加方便,但同时也为病毒传播创造了条件。因此关闭默认共享,可以大大降低系统被病毒感染的概率。在“计算机”里单击右键,选“管理”,选“共享文件夹”一“共享”,我们选择一个分区,单击右键选“停止共享”(如图1),这样选中的默认共享就会被关闭。    关闭重要功能防止木马入侵    系统中一些常用的、权
期刊
在word中要插入符号,首先要切换到“插入”选项卡,把插入“符号”命令添加到快速访问工具栏,可以避免在选项卡之间切换。
期刊
STEP 01 创建摄像头快捷方式    先将自己的摄像头插入电脑的USB接口。接着打开“控制面板”窗口并单击该窗口中的“设备和打印机”选项,以打开一个与之同名的窗口;此时在图1所示的窗口中,大家就可以看到一个摄像头图标了;最后右击该图标并选择“创建快捷方式”,在桌面创建一个与摄像头有关的快捷方式(如“USB2.0 PC CAMERA”)即可。      STEP 02 将快捷方式复制到“Net
期刊