木马的免杀加壳

5.7　木马的免杀加壳

为了让木马更好地为黑客服务，许多黑客想办法解决木马在上传过程中被杀毒软件查杀的问题，所以为木马加壳，而修改特征码不失为一种“保护”木马的好方法。

1）木马服务端的一般加壳

所谓加壳，就是将可执行程序中的各种资源，包括EXE、DLL进行压缩，压缩后的可执行文件还是可以正常运行。运行前首先在内存中将各种资源解压缩，再调入资源执行程序，加壳后的文件体积变小了，且文件的运行代码发行了变化。杀毒软件是靠特征码进行识别的，所以使用加壳工具改变特征码，可以躲过杀毒软件的查杀。

用加密程序ASPack进行加壳，如图5-40所示。

单击“Start”打开如图5-41所示对话框。

图5-40　加密程序ASPACK进行加壳

图5-41　ASPack主界面

单击“Open”打开要加壳的文件，自动打开如图5-42对话框。

图5-42　提示文件将被压缩

单击“确定”打开如图5-43对话框，看到正在压缩的过程。

木马加壳后，杀毒软件就不容易查出来了。

图5-43　木马文件被压缩的过程

2）木马服务器端多次加壳

虽然为木马加壳以后可以躲过大多数杀毒软件的查杀，但是有些功能强大的杀毒软件还是可以查杀掉，所以我们要对木马服务器端进行多次加壳，这样能保证较高的躲避率。

用北斗压缩这个工具进行压缩加壳，北斗压缩工具的主界面如图5-44所示。

图5-44　北斗程序压缩的主界面

单击“配置选项”、选中“处理共享节”后，加壳时软件会智能判断共享节的可用性并做出正确的处理，保证压缩后木马能正常工作，如图5-45所示。

图5-45　配置选项设置

勾选“最大程度压缩”可以让压缩加壳生成的程序体积更小。

一般情况下，压缩程序对被压缩程序所需的动态库采用两种加载方式，一是经Windows自己进行加载，一是由压缩程序处理。

图5-46　单个木马文件的压缩加壳

选择“使用Windows DLL加载器”选项，切换到“文件压缩”选项，然后点“打开”或直接把木马拖到窗口中间，然后点“压缩”，可实现单个木马文件的压缩加壳，如图5-46所示。

图5-47　目录压缩

经过“北斗程序压缩”压缩以后可以再用“ASPACK”再压缩以次，从而实现多次压缩加壳。

3）为木马程序批量加壳

可以用“目录压缩”选项，进行批量压缩，如图5-47所示。

图5-48　木马彩衣主界面

4）修改木马特征码

网络神偷这款木马功能较强大，被众多杀毒软件列为重点防范对象，并能对这款木马特征码进行识别，因此普通加壳根本无法躲过查杀，只有对木马特征码进行修改方能使用。我们用“木马彩衣”工具进行实验，其主界面如图5-48所示。

单击“浏览”找到网络神偷文件，选“只加区段”然后按图片所示添加区段名值，点“穿上”完成木马特征码的修改，如图5-49所示。

图5-49　改变区段名值完成木马穿衣