多重加壳让木马躲过查杀

开篇：润墨网以专业的文秘视角，为您筛选了一篇多重加壳让木马躲过查杀范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

第一次加壳操作

通过我们进行第一次加壳，都是选择加密性比较好的壳，比如国产的PE－Armor就是这样的一款加壳程序。该加壳程序的特点是可以伪装成其他壳，并有很强的反跟踪，其强度、兼容性和稳定性都不错。首先下载运行PE－Armor程序后，点击操作界面中“处理”标签中的按钮，来选择需要进行加壳处理的木马文件。接着点击窗口中的“保护”按钮，程序将按照默认的设在进行加壳处理。

如果用户需要获得更好的加壳效果，可以选择程序的“设置1”标签。这其中有很多的选项可以选择。其中“特殊代码加密”可对程序中的某些代码进行处理，不通过编程将很难将改变的代码还原。有效提高加密后软件的安全性。“输入表加密”可以对程序的输八表进行处理，在程序运行的任何时间，内存中都不会出现完整的输入表。并且采用的算法可有效抵抗Import REConstructor等工具的自动还原。使用“输入表加密”后程序，将监视LoadLibrary和GefProcAdd ress函数，利用它可以判断程序是否带外壳执行。然后再切换到“设置2”标签，选中窗口下方的“将自身伪装为”选项，从下拉列表中选择一个伪装的项目。其中包括AsPack、UPX、幻影等常见的壳，以及各种各样的程序语言，这样检测工具还以为是用其它壳进行的操作。

进行资源重建

由于对木马程序进行加壳处理后，需要对木马文件的资源进行重建，不然就会出现二次加壳失败的问题。现在运行FreeRes这款分析工具，它可以分析和重建被压缩的资源。运行FreeRes并点击工具栏中的“打开文件”按钮，选择刚刚加壳的木马服务端程序文件。这时弹出一个提示窗口，告知用户“载八资源错误，它可能已被压缩，你是否需要释放资源进行分析?”，这里我们直接点击“是”按钮。这里需要特别声明的是。在重建资源的时候FreeRes会运行当前正在处理的文件。所以我们最好首先运行Ollylce，将前面加壳处理后的木马载入到软件窗口，这样就可以模拟运行加壳后的木马程序。最后点击“功能”菜单中的“建立可编辑资源”命令，这样就可以成功的给加壳的文件进行资源重建。

第二次加壳操作

现在运行另外一款加壳软件TroJka crypter，首先点击“浏览可执行文件”选项后的按钮。在弹出的窗口选择需要加壳的木马服务端文件。接着点击“图标修改”选项后的按钮，在弹出的窗口选择要使用的图标文件。或者选择一个可执行文件，这样程序就可以自动提取文件中的图标信息。点击“更多图标”按钮，也可以选择程序自带的一些图标。

现在在“选项”设置中可以根据需要来选择相应的一些功能选项。比如“反虚拟机”和“反沙盒”等。这样当服务端程序发现自己在这种环境中，就会拒绝运行避免自身在这些环境里面现出原形。另外还可以设置一个虚假信息，在运行的时候来欺骗用户。设置完成以后，点击“加密”按钮可以完成加壳操作。然后再运行FreeRes给木马文件进行资源重建处理，这样就可以第三次进行木马文件的加壳处理。