【IT168 专稿】提到木马，大家并不陌生，但是为什么还是有很多人屡屡中招，死在木马的“蹄”下呢？原因很简单，因为大家不能识别木马，木马也不会告诉你“我是一个木马，你要当心了”。相反，木马会采取种种手段，尽量不让大家识别出来，其中加壳就是一种常用的躲开杀毒软件和防火墙的方式。针对加壳的病毒木马，我们该怎么办呢？如何进行检测?最新发布的超级巡警之虚拟机自动脱壳机 V1.1就可以对加壳的木马样本进行脱壳处理。下面我们就以一次完整的加壳、脱壳实例来看看其具体的操作。

    一、穿马甲——木马加壳的实现

    1．什么是加壳
    所谓加壳，其实是指利用特殊的算法，对EXE、DLL文件里的资源进行压缩的方法，这个压缩之后的文件可以独立运行，解压过程完全隐蔽，都在内存中完成。加壳一般有两种用途：

    一是大部分的程序是因为防止反跟踪，防止程序被人跟踪调试，防止算法程序不想被别人静态分析。加密代码和数据，保护程序数据的完整性，不被修改或者窥视程序的源代码。

    二是将一些恶意程序包装起来，脱过杀毒软件的监视，从而实现自己的目的，如加壳后的木马程序。显然，我们这里的加壳主要是针对第二种情况。

    2．加壳实战
    听起来，加壳是个很复杂的操作，但实际上我们并不需要自己去编写加壳程序来为源程序进行加壳。目前，成熟的、免费的第三方加壳程序已经是非常的多，如UPX、WWPACK、ASPack等等。使用这些程序，只需进行简单的设置，就可以对自己的软件进行加壳。比方说灰鸽子的服务器端就是使用UPX加壳的！

    那么，是不是加了壳的木马就能够成功的躲过任何杀毒软件的监控呢？事实上，在没有脱壳之前，的确能够发现壳内源代码的杀毒软件还不多，但是一旦加壳的木马被执行之后，完成了脱壳的过程，那么跟踪内存的杀毒软件会很快的发现内存中正在运行中的木马，最后将之杀掉。实际上，国内很多杀毒软件已经掌握了检测加壳恶意程序的技术。如，在从服务器中下载加壳的木马服务器端程序时，就会弹出如图所示的提示。
 

图1 病毒以及加壳提示

    从图中可以看出，Setup.exe文件中包括了加壳技术已经被检测出来了。那么，恶意程序是如何实现加壳的呢？木马加壳的技术实际上很简单，当一个服务器端的EXE程序生成好后，可以很轻松的利用ASPACK、UPX、WWPACK等这些第三方的程序进行加壳操作。下面，让我们来看看如何使用ASPack汉化版对一个程序进行加壳，具体过程是：

    （1）下载ASPack汉化版；在“选项”设置界面中，在“语言”列表中选择“Chinese”项，使软件界面转为中文化，如图所示。
 
图2 基本选项设置

    （2）在“打开文件”界面中，将准备进行加壳的程序添加进来，如图所示。

图3  添加加壳的文件

    在完成软件的添加后，将立即跳转到“压缩”界面中，此时可以看到软件的加壳操作已经开始。如图所示：
 
图4 开始加壳操作

    （3）在完成加壳后，可以单击“压缩”界面中的“测试”按钮，测试一下加了壳后的程序能否运行。如果出现程序界面，则表示加壳成功。但是，如果是对恶意程序进行加壳后，一般就不要点击了，否则善后工作将会很繁琐。如图所示。
 
图5 测试加壳程序