现阶段木马病毒隐身形式之加壳和修改特征码

　　导读:如果你认为有了防火墙和杀毒软件就能查找所有的病毒和木马那你就错了,因为现阶段木马病毒隐身的手段还存在着两种高级的形式,这两种形式也是造成目前病毒木马能够大行其道的主要原凶,给我们的查杀带来相当大的难度和困挠.本文就将来为你分析这两种方式.

　　接下来，雪源梅香将以Windows XP系统为平台，分别对现阶段木马病毒常用的隐身术和穿透防火墙方法进行简单的描述，并给出相应的处理方法，以帮助需要的读者提高对木马病毒的防范能力。

　　二、木马加壳

　　给程序加壳，包括加密壳和压缩壳两种。程序一旦被加壳保护后，如果不使用与此相应的脱壳软件进行脱壳处理，一些反汇编程序是不能正确读取到其真正的代码的。这样，就能保护程序不会被破解。同样，木马程序一旦也经过了加壳保护，杀毒软件如果不具有给程序脱壳功能，那么也就不可能识别出它就是木马的，也就是说达到了木马隐身的目的。

　　如今，通过Aspack或UPX给木马加上壳是非常容易的，例如灰鸽子远程控制软件本身就具有UPX加壳功能。但是，这些常见的加壳软件的加壳方式已经被杀毒软件研究透了，加上一些杀毒软件(例如卡巴斯基)已经具有脱常见壳的功能。因此，一此攻击者是会通过使用一些不常用的加壳软件来对木马加壳处理的。这些不常见的加壳软件，一般都是出现在一些国外的安全类网站当中，其中比较常用的有Private exe Protector软件，它原本是一个非常好用的程序保护软件，但同样也可以用来保护木马。而且，对木马进行加壳，往往还会加多重壳，以进一步增加被识别出来的难度，但加多重壳要比加单一的壳要复杂得多。只是，程序加壳只是对木马的程序文件进行了保护而已，且有时加壳会损坏木马的一些功能，而且，单独使用加壳保护木马是达不到理想的保护效果的。因此，攻击者往往在对木马加壳保护之前，还会对它使用如程序加密之类的处理工作的。

　　正如上面所说一样，对木马进行加壳保护，只对木马文件有效，对于已经加载到内存中的木马程序段，由于木马在运行时已经自行脱壳处理了，也就失去了保护作用，此时就可以通过对内存检测的方式来查杀。现在已经有许多杀毒软件已经具有了内存查杀的功能，例如瑞星和EWIDO等。但是，一些木马的程序在加载到内存之前，会先被它的壳所控制，而这些壳会通过一些手段来终止用户系统中所运行的安全软件的进程，然后再完全将木马程序加载到内存中运行，这样就能躲避被内存查杀的危险。此时，就只能靠用户自己使用一些脱壳软件来对系统中可疑的文件进行查壳和脱壳处理后再查杀了。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点