其實在我們從網站上下載的許多***,都是被開發者處理過並加過殼的。
加殼的全稱應該是“可執行程序資源壓縮”,是保護可執行程序最有效的手段之一。
所謂加殼,其實是指利用特殊的算法,對EXE、DLL文件中的資源進行壓縮的方法,這個壓縮之後的文件可以獨立運行,解壓過程完全隱蔽,都在內在中完成。
解壓原理:是加殼工具在文件頭裏加一段指令,告訴CPU怎樣才能解壓自己。由於現在的CPU速度是很快的,所以在解壓過程中你一般發現不了運行速度有下降。
當你加殼後的程序執行時,就相當於給你的可執行程序加上個外衣。用戶執行的只是這個可執行程序的外殼程序。當你執行這個程序序的時候,殼就會把原來的程序在內存中解開,解開後再把控制權交給真正的程序。
但加殼並不同於完全的解壓縮的壓縮,像RAR和ZIP這些壓縮工具解壓時需要對磁盤進行讀寫,而殼的解壓縮是直接在內存中進行的。
加殼的用途有二:
一、防止反跟蹤,即防止程序被人跟蹤高度,防止源代碼被窺視。
二。將惡意程序包裝起來,逃過殺軟監視。
==================
殼分爲壓縮殼、密碼殼、加密殼三種。顧名思義,壓縮殼只是爲了減小程序體積對資源進行壓縮,常見的壓縮殼包括FSG、ASPack、UPX、北斗等;加密殼也就是常說的保護殼、猛殼,它對程序輸入表等內容進行加密保護,具有良好的保護效果,常見的加密殼包括ASPROTECT、ACPROTECT、PELock、幻影等;密碼殼平時使用得不多,加密殼的程序只有在正確輸入密碼後才能運行。
一、防止反跟蹤,即防止程序被人跟蹤高度,防止源代碼被窺視。
二。將惡意程序包裝起來,逃過殺軟監視。
==================
殼分爲壓縮殼、密碼殼、加密殼三種。顧名思義,壓縮殼只是爲了減小程序體積對資源進行壓縮,常見的壓縮殼包括FSG、ASPack、UPX、北斗等;加密殼也就是常說的保護殼、猛殼,它對程序輸入表等內容進行加密保護,具有良好的保護效果,常見的加密殼包括ASPROTECT、ACPROTECT、PELock、幻影等;密碼殼平時使用得不多,加密殼的程序只有在正確輸入密碼後才能運行。
==================
目前比較流行的加殼工具有:UPX、WWPACK等等。使用這些程序只需進行簡單的設置就可以對軟件進行加殼。
目前比較流行的加殼工具有:UPX、WWPACK等等。使用這些程序只需進行簡單的設置就可以對軟件進行加殼。
那麼,是不是加了殼的***就一定能躲過任何殺毒軟件的監控呢?
由於在程序執行之前,由於殼的保護,殺毒軟件的文件監控一般不能發現殼內的源代碼。但一旦程序執行以後,完成脫殼過程,那麼跟蹤內存的殺毒軟件會很快發現內存中正在運行的***,最後將之殺掉。
由於在程序執行之前,由於殼的保護,殺毒軟件的文件監控一般不能發現殼內的源代碼。但一旦程序執行以後,完成脫殼過程,那麼跟蹤內存的殺毒軟件會很快發現內存中正在運行的***,最後將之殺掉。
===================
打開ASPack,在打開文件界面中,把***添加進來。完成添加後,將自動跳轉到“壓縮”界面中,加殼開始。
完成加殼後,單擊“壓縮”界面中的“測試”按鈕,以測試是否可以運行。
===================
如何識別加殼的***
運行一個小軟件PEiD,點文件右側的打開(省略號圖標)。它幾乎可以檢測到所有的被打包、掩藏和編譯的PE文件。它的偵測數量可達450種之多。甚至可以檢查出***文件是用什麼程序編寫的。
打開ASPack,在打開文件界面中,把***添加進來。完成添加後,將自動跳轉到“壓縮”界面中,加殼開始。
完成加殼後,單擊“壓縮”界面中的“測試”按鈕,以測試是否可以運行。
===================
如何識別加殼的***
運行一個小軟件PEiD,點文件右側的打開(省略號圖標)。它幾乎可以檢測到所有的被打包、掩藏和編譯的PE文件。它的偵測數量可達450種之多。甚至可以檢查出***文件是用什麼程序編寫的。
另外language2000也是一款非常強大的***殼檢測工具。
===================
如何脫殼
脫殼是程序員的最愛(剽竊源代碼)。由於有些***是要先脫殼以後再進行加殼的,所以脫殼對我們而言也有有意義的。
首先要知道,軟件是用什麼程序進行加殼的,這樣我們才方便脫殼。
===================
如何脫殼
脫殼是程序員的最愛(剽竊源代碼)。由於有些***是要先脫殼以後再進行加殼的,所以脫殼對我們而言也有有意義的。
首先要知道,軟件是用什麼程序進行加殼的,這樣我們才方便脫殼。
一、UPX脫殼:
把加殼後的程序添加進來,單擊“解壓縮”繼續。
脫殼到一半時,會彈出“另存爲”對話框,在文件名中輸入文件名,保存即可。
===================
爲什麼我加的殼逃不過病毒的眼睛?
把加殼後的程序添加進來,單擊“解壓縮”繼續。
脫殼到一半時,會彈出“另存爲”對話框,在文件名中輸入文件名,保存即可。
===================
爲什麼我加的殼逃不過病毒的眼睛?
如今***使用病毒加殼,主要是對使用的***等惡意程序進行保護,從而避免它們被殺毒軟件所查殺。比如大名鼎鼎的冰河***,原版本被作者用UPX加殼,可是這種加殼方式已經被殺毒軟件列入封殺名單。
所以人們現在要使用冰河的時候,首先需要將原來的UPX殼脫掉,接着通過修改特徵碼、修改程序入口地址、加花指令等不同的方法進行免殺操作,然後再加殼進行保護,這樣一個免殺的冰河***就誕生了。當然有的人可能不會去進行麻煩的免殺操作,所以只要對脫殼的服務端程序進行多層加殼即可,不過一般都是先加加密殼,再加壓縮殼,順序不能顛倒。
====================
如何測試我的***是否免殺?
[url]www.virustotal.com[/url]
這個是世界反病毒網,裏邊有很多款世界著名殺軟,免費在線查毒。如果你想測試你做的客戶段的免殺程度的話,就來這裏測試好了
所以人們現在要使用冰河的時候,首先需要將原來的UPX殼脫掉,接着通過修改特徵碼、修改程序入口地址、加花指令等不同的方法進行免殺操作,然後再加殼進行保護,這樣一個免殺的冰河***就誕生了。當然有的人可能不會去進行麻煩的免殺操作,所以只要對脫殼的服務端程序進行多層加殼即可,不過一般都是先加加密殼,再加壓縮殼,順序不能顛倒。
====================
如何測試我的***是否免殺?
[url]www.virustotal.com[/url]
這個是世界反病毒網,裏邊有很多款世界著名殺軟,免費在線查毒。如果你想測試你做的客戶段的免殺程度的話,就來這裏測試好了
注意:上傳樣本的時候一定要選擇“不發送病毒樣本”,不然就會上報給殺軟公司,這樣你辛辛苦苦做的免殺就白做了。