木马加壳软件对比解析
各种杀毒软件优缺点
瑞星杀毒软件的优点:1采用内存杀毒技术;2杀毒能力在国内同类型软件中较强。
缺点:1查杀病毒时内存占用量超大;2对新的病毒查杀能力不够
江民杀毒毒软件的优点:1占用内存低;2对于加壳的木马和后门有很强的判断能力;2对未知木马和后门病毒有一定的解析度和及时分析能力。
缺点:对内存杀毒不强;2对于很多木马加密后就无法判断了;3目前稳定性和兼容性有待提高
McAfee杀毒软件的优点:1防毒能力很强;2免费,简单的注册一下就可以享受这个优秀的杀毒软件在线升级服务。
缺点:1配置比较麻烦,新手不适合;2病毒库升级慢;3程序运行速度慢
诺顿杀毒软件主要特点:诺顿杀毒软件企业版和专业版本,标准版本相比能占用更低的系统资源,性能跟可靠。
缺点:1误杀,误报率高;2升级慢
NOD32杀毒软件的优点:1速度快和准;2占用系统资源极小;3对未知病毒和新出病毒有很强的预判性;4误杀率极低。
缺点:1病毒库更新太慢;2杀毒能力不强;33.0以前的版本没有自带防火墙kaspersky(卡巴斯基)杀毒软件的优点:1查杀病毒能力较高;2具有较强的中心管理。
缺点:查杀病毒时系统资源占用过大
Dr.Web(大蜘蛛)杀毒软件的优点:1几乎完全免费;2专门查杀病毒。
缺点:1使用时会弹出广告;2本身防御体系较差;3对木马查杀能力很差
360安全卫士+360杀毒软件的优点:1完全免费;2具有提前防御的本领;3拦截网页木马非常凑效。
缺点:1查杀新木马,新病毒以及未知病毒能力差;2自我防御体系非常差
金山杀毒软件的优点:1跟瑞星差不多(金山在查杀流氓软件的速度比瑞星要快)。
缺点:跟瑞星一样。
5款常用加壳软件对比
5款常用加壳软件对比现在壳的发展一个趋势就是虚拟机保护,利用虚拟机保护后,能大大提高强度,因此建议尽可能使用此类技术保护软件。
如Themida ,WinLicense,VMProtectr 等壳带有虚拟机保护功能,因此得用好其SDK.本文总结了5款常用的加壳软件并进行了对比。
VMProtectVMProtect是一款纯虚拟机保护软件,官方链接:www。
VMProtect。
ru。
它是当前最强的虚拟机保护软件,经VMProtect处理过的代码,至今还没有人公开宣称能还原.但也有缺点,就是会影响程序速度,因此在一些对速度要求很高的场合就不适合用了。
VMProtect 1。
22。
3之前是免费版,可以支持EXE,DLL等文件。
更高版本需要购买,其支持驱动的保护.现在流行的做法,先用VMProtect将你的核心代码处理一下,再选用一款兼容性好的壳保护。
[现在最新的VMProtect是v2.12,慧都控件网提供免费下载]1.关键代码自己定位VMProtect并没有提供使用说明,必须告诉VMProtect你要加密的代码具体地址,这对使用者有一定的要求,至少要懂一些跟踪技术,可以用调试器,如OllyDbg 跟踪到程序需要保护的地址,然后添加地址到VMProtect。
在这以一个记事本程序为例来演示一下使用方法。
运行VMProtect后,打开NOTEPAD。
EXE文件。
单击Dump标签,输入要加密的起始地址,光标来到要加密代码起始地址后,点击菜单“project/new procedure”,会出现一个新的项目,如下图.软件对比2.用SDK标记代码VMProtect v1。
2以上支持SDK了,可以编程时插入一个标记,然后在加密时,VMProtect会认出这些标记,并在有标记的地方进行保护。
在程序源码中,用这对标签将一些核心代码包含,编译成EXE文件。
然后用VMProtect打开EXE,单击“Project"菜单下的“New procedure”或者单击工具栏中的“New procedure"按钮,在弹出的添加地址窗口中会自动将SDK定义代码的地址填上。
木马的7种分类
木马的7种分类木马(Trojan Horse)是指通过一些看似合法的软件、文件、邮件等手段传播的恶意软件。
它可以像拿着一把万能钥匙,随意打开用户电脑中的各个大门,窃取各种敏感信息,控制系统功能,甚至破坏硬件设备。
下面我们将从不同的角度来介绍木马的7种分类。
一、按功能分:1.远程控制型木马:可以远程监控、控制用户电脑,随意执行命令。
2.窃密型木马:可以从用户电脑中窃取各类敏感信息,如账号、密码、银行卡号等。
3.病毒型木马:可以破坏用户电脑中的硬件或软件系统,造成一定的损失。
二、按传播途径分:1.网络传播型木马:通过网络渠道进行传播,如邮件、聊天工具等。
2.U盘插播型木马:诱使用户在电脑中插入感染病毒的U盘。
3.欺诈型木马:通过欺骗等手段让用户自己安装木马软件,如“看片软件”、“电脑清理工具”等。
三、按攻击方式分:1.远控攻击型木马:通过远程控制完成攻击,如后门木马等。
2.利用漏洞型木马:利用系统中的漏洞进行攻击,如Petya病毒等。
3.伪装欺骗型木马:通过伪装、欺骗等手段,使用户误以为是合法的软件。
四、按系统类型分:1.手机木马:主要攻击手机系统,侵害用户个人信息安全等。
2.PC木马:主要攻击PC系统,通过控制计算机实现攻击目的。
3.嵌入式木马:攻击嵌入式系统,如工控系统。
五、按木马特点分:1.加壳木马:通过在木马文件中加壳,改变二进制代码,增加木马的下发成功率。
2.虚拟机逃逸木马:由于虚拟机的隔离性,攻击者通过这种木马可以逃脱虚拟机的隔离,对真实系统进行攻击。
3.钓鱼木马:通过伪造合法的网站,欺诈用户输入个人信息,完成攻击。
六、按传销性质分:按照恶意软件的传播性质,有三种具体类型:自上而下传播的单一部门型传销木马;基于上下级关系或社区传播的多点式传销木马以及病毒式传播模式下的组织结构性传销木马。
1.文件式木马:通过改变文件,将木马程序与正常程序结合到一起,通过运行正常程序启动木马,达到控制的目的。
木马的分析方法
好了,现在我们已经得到了这个木马加壳前的原始文件了,看看脱壳过的gwns.exe,有194k之大,比原来的程序大了一倍还多,这就是加壳软件的功劳了。现在就可以使用反汇编程序对其进行反汇编,然后看它的汇编程序代码了。
木马的分析方法
isno
运行ProcDump,点击Unpack按钮,因为我们要脱ASPack v1.06b的壳,所以就在其中选中Aspack<108,然后按OK。这时它会让你打开要脱壳的文件,我们就选DIAGCFG.EXE,打开。然后稍微等几秒种后按“确定”,ProcDump就会把DIAGCFG.EXE脱壳,然后会出个对话框要你把脱壳过的文件存盘,我们就把它存为gwns.exe。
五、总结
截止目前为止,我们已经完成了对“广外女生”这个木马程序的全部分析过程,了解了木马的启动、运行机制。当然,我写本文的目的并不是简单的介绍“广外女生”这一种木马,而是通过对这个具有典型意义的木马的详细分析,来向大家介绍对一般木马的分析方法。利用本文的分析方法,你完全对任何一种未知的木马品种进行分析。最后我们再来总结一下对木马分析的方法及步骤:
0042B6CE mov eax, [ebx]
0042B6D0 push eax
0042B6D1 call j_RegCloseKey_0
木马还会修改“天网防火墙”或“金山毒霸”在注册表中的启动项,使其在下次系统重新启动时无法自动运行。
0042B820 mov dword ptr [esi], 100h
0042B271 mov eax, ds:dword_42EA80
免杀的原理大全
免杀的原理大全一、工具mycll:特征码定位PEID:查壳工具PEditor:入口点修改工具加花c32asmollybgoc:文件地址到内存地址的换算resscope:资源编辑zeroadd:加区段的木马采衣:加花maskpe,vmprotect:加密upx,aspack北斗壳:压缩免疫007:免疫器二、效果分析1、加密:vmprotectv1.21和MASKPE2.0(对瑞星有特效),比较容易过瑞星表面,不能过卡巴压缩:北斗,UPX:主要是减少体积加花:对卡巴有特效,通用性比较好2、北斗+VMpro,但是北斗+maskpe出错!无壳木马可以先加花3、无壳木马直接用maskPE22.0可过瑞星表面但是过不了卡巴。
4、无壳木马加一道花指令后再用VMPRO1.21加密可直接过卡巴但是可能无法过瑞星表面5、经过免杀处理,过几种杀毒软件,加压缩壳后仍免杀过他们,但是北斗除外,棉纱处理国卡巴的木马北斗后可能被卡巴杀6、测试操作1)手工加花+掘北压缩,鸽子先脱壳,在用OD在零区域添加指令(根据字节编写):先找原入口点,零区域,记录其地址(新入口点),指令push eax pop eax add esp 1 inc esp push 004A1E48 retn保存。
用PE修改入口点。
能过卡巴,过不了瑞星。
用掘北(对瑞星表面有特效)2)工具加花(花蝴蝶三号)+VMPRO+UPX。
**器三、手工加花方法1、直接:OD,记录入口点;找零区域,复制地址(新入口);写指令:push 0 nop add esp 2inc esp inc esp push exp pop esp push原入口点retn改入口点(新)(lordpe);可以把这段代码保存为二进制以后方便用。
2、去头:复制头,并去掉,填加到空白区域(新地址);再填加花指令。
3、加区:zeroadd加区段,大小一般100左右;OD打开文件,用ALT+M打开内存景象,复制区段入口地址和原程序入口,到区段加花,程序入口地址不变;lordpe 修改入口为区段的入口。
android手机木马的提取与分析
android手机木马的提取与分析Android手机木马病毒的提取与分析为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用dex2jar、jdgui等工具软件查看apk文件源代码。
结合实例,讲述了如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。
智能手机给用户带来便利的同时,手机恶意软件也在各种各样的违法活动中充当了重要角色,其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。
Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。
他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现,这种恶意短信中附的网址,其实就是诱导下载一个手机软件,安装后手机内并不会显示出该应用,但其中的木马病毒已植入,后台会记录下机主的一切操作,可以随时监控到手机记录。
若机主登录网银、支付宝、微信红包等,银行卡账号、密码就都被泄露了,黑客能轻易转走资金。
此类案件近期呈现高发的趋势。
面对各种各样善于伪装隐藏的手机木马病毒,如何提取分析,并固定证据成为一项重要工作。
本文从Android手机木马病毒的特点入手,讲述了如何提取分析关键代码与配置数据,从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。
诈骗、盗窃的目标不变,那就是诱导点击安装短信的链接网址中的木马。
木马植入到目标系统,需要一段时间来获取信息,必须隐藏自己的行踪,以确保木马的整体隐藏能力,以便实现长期的目的。
主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。
然后实现了Android系统下木马攻击的各种功能,主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。
广外女生木马的分析方法
注意:这时候,木马又在你的系统上运行了一次,所以必须按照前面的清除步骤重新把它清除掉。由于前面已经写过清除方法,这里就不再赘述了。
好了,现在我们已经得到了这个木马加壳前的原始文件了,看看脱壳过的gwns.exe,有194k之大,比原来的程序大了一倍还多,这就是加壳软件的功劳了。现在就可以使用反汇编程序对其进行反汇编,然后看它的汇编程序代码了。
Old value: String: ""%1" %*"
New value: String: "C:\WINNT\System32\DIAGCFG.EXE "%1" %*"
这个键值由原来的"%1" %*被修改为了C:\WINNT\System32\DIAGCFG.EXE "%1" %*,因为其中包含了木马程序DIAGCFG.EXE所以最为可疑。那么这个注册表项有什么作用呢?
4.这时就可以删除C:\WINNT\System32\目录下的DIAGCFG.EXE了。切记万万不可首先删除这个文件,否则的话就无法再系统中运行任何可执行文件了。由于我们下面还打算进一步深入分析这个木马,所以现在不删除它,而是把它拷贝到其他的目录以便研究。
四、深入研究
我们已经知道了“广外女生”的基本工作原理、启动流程以及如何彻底清除它了,但是还有一点我们没有彻底弄清楚,那就是它是如何对付“天网防火墙”或“金山毒霸”的。要深入了解这一点,我们必须要去看“广外女生”的代码,这个木马并没有公布源代码,但是我们仍然可以通过反汇编它来看个究竟。
三、查杀
经过前面的分析我们已经了解了“广外女生”这种木马的工作方式,现在我们就来清除它。下面就是彻底清除“广外女生”的方法,注意:这个步骤的次序不能颠倒,否则可能无法完全清除掉此木马。
各种杀毒软件优缺点
2。DOS版下杀毒软件假升级(只改写了版本号,却没有对病毒库更新)。曾有某位仁兄专门写信提出建议,该公司没有接受,解释为DOS版只杀对Windows构成重大威胁的病毒,假升级是为了对用户进行安慰,以致我都怀疑Windows版本是否真的升级了。现在看来,对于信赖DOS杀毒的用户来说,不及时升级已经很不安全了。
卡巴斯基
很久以前用过了,当时还叫AVP,后来放弃了,太耗资源。据说能支持4000种以上的壳,杀毒能力可以说是首屈一指了,但是他脆弱的实时监控能力不怎么好,拦不下什么东西,往往有可能在病毒发现前就挂了。另外卡巴系统资源占用量简直就像个吸血魔鬼,令系统性能下降不少,感觉本身也像个病毒,所以虽然说杀毒能力据说很好但是我绝对不用。要想保证安全的话一定要加装一个ZA。但这样太恐怖了,就光守着个铜墙铁壁什么都不要做了,相对来说卡巴查毒速度是较慢的,因为病毒库多啊,每个文件都要那几十万的病毒库去套,想快。。。很难
罗马尼亚的一款杀软,卡巴斯基病毒库很多,现在大概15万左右了吧,但是同期这款软件近22W的病毒库,卡巴就一边凉快去了。所以曾经在一些网站的测试中取得过第一名的成绩。但是也不能说明他很厉害,病毒库多并不能说明问题,实际杀毒能力BitDefenderProfessional并不见得比卡巴斯基更好。这也是因为加壳的缘故
McAfee
占内存不多,启动较快,比金山慢一点。实时监控比较好,网络主动攻击基本逃不过他,但它查杀通过监控的病毒能力不是特别强。杀毒能力没有卡巴斯基好,系统监控据说做得很好,界面还好。 但我不常用,不知道为什么。
江民
支持查杀两种壳,但是也是效果可怜。据说监控能力还不错,但因为不常用所以也不好说什么,但是当年DOS下确实很喜欢用江民的硬盘修复功能。总的来说,使用系统资源小,对木马的查杀虽优于瑞星,但仍显不足。防火墙比较烦人.太多的提示.而且没有漏洞修补功能.对一般人来说可以不太好用,因为对它提醒的内容你可能根本不知道应该放行还是不放行.
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
上机实验报告
一、目的及要求
实验目的:
使用不同的加壳工具对已知恶意代码样本进行加壳操作,掌握不同加壳软件的使用方法,清楚各类加壳工具的加壳特点和强度。
实验要求:
(1)Aspack、Asprotect、Armadiollo和Themida等加壳工具,对恶意代码pe.exe进行加壳;
(2)比较加壳前后样本在大小、节数量、入口点等方面的变化;
(3)将加壳后的恶意代码用杀毒软件进行查杀,通过查杀结果比较各加壳工具的加壳强度。
二、环境(软、硬件平台)
虚拟机:安装winXP操作系统,各加壳软件、PE文件格式查看软件以及360杀毒软件。
工具:
(1) ASPACK 2.29:ASPACK是一种可压缩32位Windows EXE文件与DLL文件的压缩壳,能将大多数EXE文件及DLL压缩到原体积的30%-40%,比行业标准的zip文件压缩率高10%-20%;
(2) Asprotect 6.26:ASProtect是一款强大的Win32程序加壳软件,它拥有压缩、加密、反跟踪、CRC校验以及代码混淆等保护措施。
它采用了Blowfish、Twofish、TEA等加密算法,并利用1024位的RSA算法作为注册密钥的生成器。
它还提供API钩子与加壳程序进行通信,并为软件开发人员提供SDK,更加促进了程序与壳之间的相互融合。
(3) Armadillo 4.40:也称穿山甲,是一款应用面较广的壳。
它运用多种手段来保护目标程序,同时也可以为程序加上种种限制,包括时间、次数,启动画面等等,很多商用软件采用其加壳。
Armadillo 支持所有语言编写的32位PE文件。
(4) Themida是Oreans公司的一款商业壳,可以针对32位和64位的Windows程序进行保护。
Themida最大特点就是采用了所谓SecureEngine的虚拟机保护技术,当它在高优先级的情况下运行时,具称能够抵御当前破解者采用的所有破解技巧。
(5) PE_Info:PE Info是一款用于查看PE文件详细信息的软件,可查看运行平台及区块数目、创建时间及日期、程序执行入口及DOS、PE头+区块表。
内存中区块对齐值、文件中的区块对齐值、文件子系统、映像校验及DLL特征。
(6) pe.exe:恶意代码样本,具有感染功能。
三、内容及步骤
内容及步骤:
1.按照实验指导书在虚拟机中对pe.exe进行加壳操作,如下
开启360实时防护
检测pe.exe发现危险
加壳
Armadillo加壳36KB->540KB
ASPACK 36KB->20.5KB压缩型
ASProtect 36KB->366KB
Themida 36KB->1212KB!!! 360检测加壳后文件未报毒。
3.分析pe文件
4.加壳强度分析:
Armadillo也称穿山甲,是一款应用面较广的壳。
可以运用各种手段来保护你的软件,同时也可以为软件加上种种限制,包括时间、次数,启动画面等等!很多商用软件采用其加壳。
Themida是Oreans的一款商业壳,Themida 1.1以前版本带驱动,稳定性有些影响。
Themida 最大特点就是其虚拟机保护技术,因此在程序中擅用SDK,将关键的代码让Themida用虚拟机保护起来。
Themida最大的缺点就是生成的软件有些大。
ASProtect是一款应用面最广的加密壳,其兼容性和稳定性很好,许多商业软件采用这款壳加密。
AsPack中文版是一款高效的Win32可执行程序压缩工具,能对程序员开发的32位Windows 可执行程序进行压缩,使最终文件减小达70%!
四、问题及心得。