20CN网络安全小组论坛 - 菜鸟乐园 - 如何对20cn远程控制软件加脱壳逃避杀毒软件追捕

论坛: 菜鸟乐园标题: 如何对20cn远程控制软件加脱壳逃避杀毒软件追捕

作者: chiru [chiru]

论坛用户

看帖注意:本帖内容针对菜鸟,高手请不要在此耽误时间.

有朋友在问怎么对PE文件加脱壳来逃脱杀毒软件的追捕,花几分钟说明一下,如果觉得废话很多,请自行取你认为精华的读取.谢谢,如果不合胃口,请不要骂人.

1.软件为什么要加壳?
软件加壳是作者写完软件后，为了保护自己的代码或维护软件产权等利益所常用到的手段。加壳往往是实现对原PE的节数据加密和压缩.换句简单的话说,加壳后首先文件变小了,其次代码加密了,不能直接提取其中的资源.

2.为什么要脱壳?
目前杀毒软件把20cn等远程控制软件列为病毒的主要手段就是把这些软件的特征代码列为病毒识别依据,(什么是特征代码?我晕!!!,比如把你和一只鸡关在一起,光看脚也知道哪个是鸡).脱壳要做的就是把本来是鸡脚的地方给它换称其他东东...让杀毒软件认不出来....呵呵...明白了吧?----什么,你是想看原代码?这不在我们讨论的范围内,自己解决.

3.脱壳过程
脱壳方式有两种,手动和自动,手动脱壳是高手的表现,也适合复杂加壳的程序,但是要设置断点跟踪,要用到汇编,对菜鸟太难,不做讲解,我们选自动脱壳来讲.
要脱壳,首先要知道软件是用什么来加壳的.下面我们以20cn的远程控制程序pcshare的服务器端pp.exe为例,先上网找到一个加壳类型判别工具,我选的是 PEiD v0.9 ,打开我们准备好的pp.exe ,不用点任何键,呵呵,加壳方式出来了.是PEcompact加壳的,(罗嗦一句:不同的PE的加壳方式可不一样,要根据情况来定脱壳工具).
有了加壳类型,还等什么,直接找一个UnPECompact工具,找到pp.exe ,脱壳完成,保存成PPT.exe,顺便再用PEiD v0.9看一下ppt.exe,哦...Microsoft Visual C++ 6.0写的,嘿嘿嘿~~~~~喂喂喂~~~想干什么????/----不干什么,人都是有好奇心的嘛.......

4.验证结果
脱壳是否成功,最简单的办法就是直接运行它一下,看看自己能不能连上自己.呵呵...成功...当然没问题! 然后把ppt.exe进程终止了,在启动项里关掉ppt.exe.脱壳后程序大约有40多K,比原来大了不少.好不方便,~~~怎么办?当然是再加壳了!随便找一个加壳工具,什么aspack之类的再加一次壳喽.这里就不详细介绍了.

5.还等什么,赶紧找各肉鸡传上去吧,一辈子都不会被查杀的东东就出来了....呵呵.....

地主发表时间: 04-02-24 15:37

回复: bridex [bridex]

论坛用户

ASPACK狂加壳多重加壳
还有很多，如此类推！

B1层发表时间: 04-02-24 15:43

回复: chiru [chiru]

论坛用户

补充一点,多重加壳的处理办法也是可行的.同意楼上的.但是不管是加还是脱,在传给别人前最好要验证一下能不能执行.

B2层发表时间: 04-02-24 16:00

回复: dbjhyglc [dbjhyglc]

论坛用户

楼住您好：感谢您的解答，我想问您如果把加壳服务端拷进目标电脑没有被杀毒软件发现（没有加壳立即被杀），那运行以后会不会被杀毒软件发现呢？

B3层发表时间: 04-02-25 07:55

回复: bridex [bridex]

论坛用户

分几种情况，
如果杀毒软件是用已知解壳软件（一次性解壳的）话，你加壳的方法杀毒软件不知道，那么你就成功了。
如果杀软件是动态解壳（让程序在虚拟内存中自动动行，程序自动运行，当然会自动脱壳了，所以杀毒软件便可以查看加壳软件自解壳后的整个程序了。）你再加壳也是没有用的，只能更改源代码，再做一些针对性的加密措施。。

B4层发表时间: 04-02-25 08:24

回复: chiru [chiru]

论坛用户

呵呵.来迟了.楼上的朋友回答是正确的.不过即使是基于内存的杀毒软件,通过适当的修改也可以躲过.也就是楼上朋友写的"只能更改源代码，再做一些针对性的加密措施".不过这种方法牵涉到编程技术了.看大家的基础.有基础的可以对脱壳后的程序进行反编译,做适当修改后再编译一次.最好是能看懂杀毒软件识别该"病毒"的特征代码串,有针对进行修改.

B5层发表时间: 04-02-25 08:33

论坛: 菜鸟乐园