日期：2010-10-13 00:02:00 来源：本站整理

病毒加壳以及脱壳技术的防备思绪[网络技术]

赞助商链接

分享到： QQ空间新浪微博腾讯微博人人网

　　本文“病毒加壳以及脱壳技术的防备思绪[网络技术]”是由七道奇为您精心收集，来源于网络转载，文章版权归文章作者所有，本站不对其观点以及内容做任何评价，请读者自行判断，以下是其具体内容：

一什么是壳:

　　计算机软件里有一段专门负责保护软件不被不法改正或反编译的程序.它们普通都是先于程序运行,拿到掌握权,然后完成它们保护软件的任务,大家就把这样的程序称为“壳”了.从功效上抽象的讲,软件的壳和自然界中的壳相差无几.无非是保护、躲藏壳内的东西.而从技术的角度动身,壳是一段履行于原始程序前的代码.原始程序的代码在加壳的历程中大概被紧缩、加密…….当加壳后的文件履行时,壳－这段代码先于原始程序运行,他把紧缩、加密后的代码复原成原始程序代码,然后再把履行权交还给原始代码. 软件的壳分为加密壳、紧缩壳、假装壳、多层壳等类,目的都是为了躲藏程序真正的OEP（进口点,避免被破解）.

　　作者编好软件后,编译成exe可履行文件.有一些版权信息需求保护起来,不想让别人随便窜改,如作者的姓名,即为了保护软件不被破解,普通都是采取加壳来举行保护. 加壳就需求把程序搞的小一点,从而便利利用.于是,需求用到一些软件,它们能将exe可履行文件紧缩.而在黑客界中“壳”则被用在保护病毒,给木马等软件加壳脱壳以躲避杀毒软件,给网民带来很多的麻烦.

　　二病毒加壳:

　　在好莱坞特工片子里,那些特工们常常以奇异莫测的化妆来拐骗别人,乃至变更成另一个身份,国内关于这种假装行为有个通俗的说法——“穿马甲”.而这种正与邪的争斗已经延伸到了病毒范畴,很多病毒作者通过给病毒“穿马甲”、乃至穿多个“马甲”的方法,躲避杀毒软件的查杀,这种技术就是“加壳”. 病毒作者可以通过给老病毒加壳,大批量制造出杀毒软件无法辨认的新病毒.所谓加壳,是一种通过一系列数学运算,将可履行程序文件或动态链接库文件的编码举行改变（目前还有一些加壳软件可以紧缩、加密驱动程序）,以到达缩小文件体积或加密程序编码的目的.当被加壳的程序运行时,外壳程序先被履行,然后由这个外壳程序负责将用户原有的程序在内存中解紧缩,并把掌握权交还给脱壳后的真正程序.一切操作自动完成,用户不知道也无需知道壳程序是若何运行的.普通情形下,加壳程序和未加壳程序的运行后果是一样的.

　　既然加壳后的病毒不易被发现,那么若何判断一个可履行文件能否被加了壳呢?

　　有一个简单的办法（对中文软件效果较明显）.用记事本翻开一个可履行文件,假如能看到软件的提醒信息则普通是未加壳的,假如美满是乱码,则大都是被加壳的.我们还可以利用一款叫做Fileinfo的工具来查看文件具体加的是什么壳.目前,较常见到的壳有“UPX”、“ASPack”、“PePack”、“PECompact”、“UPack”、“NsPack”、“免疫007”、“木马彩衣”等等.

　　病毒加壳的原理很简单,目前黑客营中供应的大都病毒中,很多都是经过处理的,而这些处理就是所谓的加壳.我们知道当一个普通的EXE程序生成好后,很轻松的便可以操纵诸如资源工具和反汇编工具对它举行改正,但假如程序员给EXE程序加一个壳的话,那么至少这个加了壳的EXE程序就不是那么好改正了,假如想改正就必须先脱壳.病毒加壳后也是一样的原理,我们也必须先为病毒脱壳.

三脱壳办法:

　　目前有很多加壳工具,既然有矛,自然就有盾,只要我们汇集全常用脱壳工具,那就不怕病毒加壳了.脱壳主如果通过工具来脱壳.

　　常用脱壳工具有:

　　1.文件解析工具（侦测壳的范例）:Fi,GetTyp,peid,pe-scan,

　　2.OEP进口查找工具:SoftICE,TRW,ollydbg,loader,peid

　　3.dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE

　　4.PE文件编辑工具PEditor,ProcDump32,LordPE

　　5.重建Import Table工具:ImportREC,ReVirgin

　　6.ASProtect脱壳专用工具:Caspr（ASPr V1.1-V1.2有效）,Rad（只对ASPr V1.1有效）,loader,peid

　　（1）Aspack: 用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了

　　（2）ASProtect+aspack:次之,国外的软件多用它加壳,脱壳时需求用到SOFTICE+ICEDUMP,需求一定的专业知识,但最新版目前暂时没有办法.

　　（3）Upx: 可以用UPX本身来脱壳,但要注意版本能否一致,用-D 参数