編者按:我們將會為你全面剖析時下流行的木馬攻防相關(guān)知識，讓你在碰到中招的情況后，也不至于只會格式化再重裝系統(tǒng)了事。通過對木馬的“制作→偽裝→種植→防范”全程攻略，讓大家對于看似老生常談的木馬有一個比較系統(tǒng)的認識。

　　為什么要“加/脫殼”?對于黑客來說，這項技術(shù)被淋漓盡致地應(yīng)用到了偽裝木馬客戶端上，目的是為了防止被殺毒軟件反跟蹤查殺和被跟蹤調(diào)試，同時也防止算法程序被別人靜態(tài)分析。

　　用pe-scan給木馬脫殼

　　木馬研究愛好者cytkk第一時間在國外某著名黑客論壇下載到了最新的反彈端口型木馬(以下簡稱木馬Z)，正欲體驗其強大的功能時，不料被Norton Antivirus逮個正著，令人郁悶不已。cytkk企圖使用加殼軟件UPX(Ultra Packer For executable)對它進行簡單包裝來騙過殺毒軟件，哪料提示加殼失敗，檢測得知木馬Z早已被程序作者用UPX壓縮，當務(wù)之急是要先去除這個已被Norton Antivirus識破的“爛”殼。

　　cytkk運行一款名叫pe-scan 3.31的軟件。點擊“open”打開木馬Z的客戶端，在居中的顯示框內(nèi)得知加殼類型為UPX，再點擊“unpack”→“start”，cytkk按照提示設(shè)置好保存目錄和文件名就完成了整個脫殼操作。這樣一來就得到了木馬Z的原始客戶端程序。

　　高手傳經(jīng):在經(jīng)過復(fù)雜的多重加殼后，檢測出的結(jié)果就不一定準確了，此時就需要使用“adv.scan”高級掃描， pe-scan會分析出被各種加殼工具加殼的可能性。

　　重新加殼欺騙殺毒軟件

　　接下來cytkk要做的就是給木馬Z的原始客戶端進行一次成功的加殼，根據(jù)以往的經(jīng)驗，此時用ASPack1.12是個明智之舉，它擁有標準的Windows界面，操作簡單直觀。為了保證加殼后程序的完整性，cytkk放棄了最大可能的壓縮，在“選項”中去掉了“壓縮資源”的勾選并選擇了“保留額外數(shù)據(jù)”�！皦嚎s”選項很直觀，有兩個進度條，上面一個表示壓縮進度，下面一個則是壓縮后的文件大小。壓縮完成后，cytkk便迫不及待地點擊左邊的“測試”按鈕來進行完整性測試。結(jié)果沒讓cytkk失望，ASPack的出色表現(xiàn)使以嚴厲著稱的Norton Antivirus對加殼后的木馬Z也視而不見了。

　　文中所述軟件打包下載:http://www.sixvee.com/520yy/tools/cytkk-1.rar