脫去誘惑的外衣 露出木馬的本來面目

　壓縮保護

　　壓縮保護就是利用特定的壓縮演演算法把程序壓縮打包，運行的時候在內存中執行解壓過程並運行主程序。常見的壓縮類加殼軟體有：UPX、 ASpack、Petite、PE-PACK、WWPack32、Shrinker等。以UPX為例，它的主要功能就是壓縮，由於木馬要在內存中釋放后才能運行，所以對付這 類加殼木馬，凡是有內存殺毒功能的殺毒軟體都能獲得很好的查殺效果。

　　加密保護

　　這類軟體側重的是加密和保護軟體，在反編譯和反調試功能方面比較完善，某些加密軟體甚至可以做到鎖定自身在內存中的進程而不讓別的 進程插進來。此類加殼軟體由於具備反編譯和反調試功能，殺毒軟體很難查殺到殼裡的木馬。常見的加密類加殼軟體有ASProtect、tElock、 Armadillo、SVK Protector、Xtreme-Protector、Obsidium、PElock等。

　　給木馬脫殼

　　要給木馬脫殼，需要先知道加了什麼殼。PEid一款專用的查殼工具，可以方便的檢測出軟體到底是使用什麼東西加的殼，給脫殼帶來了極大 的便利！木馬Cmdshell.exe是個只有7KB的小木馬，通過開放本機的54088埠，實現遠程命令行控制。下面就詳細介紹一下給木馬 Cmdshell.exe脫殼的過程。運行軟體后，點擊「File（文件）」右邊的瀏覽按鈕，打開Cmdshell.exe文件，這時在主界面中就可以看到該文件的 加殼情況：Cmdshell.exe使用的是UPX加殼（如圖1）。

　　

　　圖1 給Cmdshell脫殼

　　通常UPX加殼和脫殼工具是通用的，所以筆者選用了使用起來比較容易的UPX Shell對加殼文件進行脫殼。運行UPX Shell程序，點擊「OPen（打開）」按鈕，選定被加殼的程序。切換到「Compress（壓縮）」標籤，選擇「Decompress（解壓縮）」，再點擊「GO（ 運行）」按鈕，即可完成脫殼。脫殼后程序由原來的7K變成了20K，文件脫殼成功（如圖2）。

　　

　　圖2 UPX脫殼

　　PE-Scan也是一款專用的查殼脫殼工具，能識別出當今流行的絕大多數殼的類型，而且功能更強。PE-Scan可以檢測出一些殼的入口點（OEP ），方便手動脫殼。運行Pe-scan，打開加了殼的木馬，即可看到木馬加殼的類型（如圖3）。這裡筆者使用了一個用Asprotect加殼的木馬來做 測試，由於目前的PE-Scan並不支持脫Asprotect殼，所以「脫殼」按鈕無法使用。

　　

　　圖3 PE-Scan脫殼

　　為了脫去Asprotect殼，還需要使用另外一款脫殼軟體stripperX來幫忙，它可以方便快捷地脫掉ASpack和ASProtect加的殼。運行stripperX ，點擊「open（打開）」按鈕，選擇要脫殼的文件，再點擊「unpack（脫殼）」按鈕即可生成目標文件，完成脫殼任務。需要注意的是由於 ASProtect在不斷升級，低版本的stripperX往往不能脫最新版本的ASProtect殼，目前stripperX 2.07版本支持脫ASpack 2.xx 和 ASProtect 1.2x版本的殼，stripperX 2.11版本支持脫ASProtect 1.3～2.0版本的殼（如圖4）。

　　

　　圖4 stripperX脫殼

　　總的來說，脫殼要對症下藥，先用PEid或PE-Scan查清楚殼的類型，然後找脫這種殼的工具，才能達到脫殼的目的。脫了殼的木馬，就失去 了保護，幾乎所有的殺毒軟體或木馬查殺工具都能查殺它。當從網路上下載了某些懷疑有木馬的程序，可以先用本文介紹的方法來檢查一下，看看它是否被加了殼，如果是就要 提高警惕了，建議不要使用。

其實不用那麼麻煩，只要用卡巴掃一下就行了，卡巴的眼睛能識別數千種加殼工具加的殼，即便是加過多個殼也逃不過它的火眼金睛

看來卡巴還挺專業啊。。。