二、木马加壳

　　给程序加壳，包括加密壳和压缩壳两种。程序一旦被加壳保护后，如果不使用与此相应的脱壳软件进行脱壳处理，一些反汇编程序是不能正确读取到其真正的代码的。这样，就能保护程序不会被破解。同样，木马程序一旦也经过了加壳保护，杀毒软件如果不具有给程序脱壳功能，那么也就不可能识别出它就是木马的，也就是说达到了木马隐身的目的。

　　如今，通过Aspack或UPX给木马加上壳是非常容易的，例如灰鸽子远程控制软件本身就具有UPX加壳功能。但是，这些常见的加壳软件的加壳方式已经被杀毒软件研究透了，加上一些杀毒软件(例如卡巴斯基)已经具有脱常见壳的功能。因此，一此攻击者是会通过使用一些不常用的加壳软件来对木马加壳处理的。这些不常见的加壳软件，一般都是出现在一些国外的安全类网站当中，其中比较常用的有Private exe Protector软件，它原本是一个非常好用的程序保护软件，但同样也可以用来保护木马。而且，对木马进行加壳，往往还会加多重壳，以进一步增加被识别出来的难度，但加多重壳要比加单一的壳要复杂得多。只是，程序加壳只是对木马的程序文件进行了保护而已，且有时加壳会损坏木马的一些功能，而且，单独使用加壳保护木马是达不到理想的保护效果的。因此，攻击者往往在对木马加壳保护之前，还会对它使用如程序加密之类的处理工作的。

　　正如上面所说一样，对木马进行加壳保护，只对木马文件有效，对于已经加载到内存中的木马程序段，由于木马在运行时已经自行脱壳处理了，也就失去了保护作用，此时就可以通过对内存检测的方式来查杀。现在已经有许多杀毒软件已经具有了内存查杀的功能，例如瑞星和EWIDO等。但是，一些木马的程序在加载到内存之前，会先被它的壳所控制，而这些壳会通过一些手段来终止用户系统中所运行的安全软件的进程，然后再完全将木马程序加载到内存中运行，这样就能躲避被内存查杀的危险。此时，就只能靠用户自己使用一些脱壳软件来对系统中可疑的文件进行查壳和脱壳处理后再查杀了。PEID和PESCAN是两个常用的用来查看程序加壳情况的软件，对于普通的用户，使用超级巡警虚拟自动脱壳机就能够很好地解决这些问题。同样，使用主动防御功能的安全软件也可以检测到这种类型的木马。