活学活用木马免杀之文件加密篇

对程序代码进行加密操作的方法，本来是用来防止被他人进行非法破解的，但是被黑客发现后加以灵活运用，成为黑客进行免杀的一个主要方法。那么文件加密又是如何迷惑杀毒软件的呢？
文件加密是将应用程序中的源代码进行重新编码，这样利用通常的方法再查看这个文件，就会发现文件的部分或者全部内容都是乱码。文件加密的同时会生成一个唯一的解密密码，并且会将这个密码写入到加密的文件中，在程序运行时就会自动读取其中的密码并进行解密，但是整个过程程序中的源代码不会暴露。由于无法正确获取到程序的源代码，因此杀毒软件无法和自己的病毒库进行比对，这样也就成功地迷惑了杀毒软件眼睛，最终完成了免杀的操作。

第一步：入口点的更改

现在的杀毒软件常常从文件的入口点进行操作，因此在很多时候只需要将入口点进行修改即可。这就好像武林高手，知道其他人可能会点你的穴道，因此在此之前就将穴道移开。首先利用最常见的入口点加一的方法，来对相关的文件进行加密操作。
首先运行PEditor 这款软件修改程序，点击“ 浏览” 按钮选择需要修改的一款扫描工具WebDAVScan 。PEditor 会自动读取文件的相关信息，这里我们只需要对“ 入口点” 信息进行修改就可以了。该程序的“ 入口点” 显示为00002A44 ，这里将入口点加一改成00002A45 后，最后点击“ 应用更改” 按钮进行保存即可（如图1 ）。

图1

第二步：内容加密

现在我们再运行MaskPE 这款加密程序，它是一款自动修改PE 文件的软件，其最大的特点就是对程序中的某个区段进行整体加密。通过程序窗口中的“ Load File ” 按钮来选择文件，接着在程序的“ Select
Information ” 列表中选择“ Base Relocation Table Informat ” 这个项目，因为这个项目的加密效果是最好的，当然大家也可以试一试其它的选项。
然后在后面的下拉列表中点击“ TYPE3 ” ，其中“ TYPE1 ” 代表简单加密、“ TYPE2 ” 代表简单移动、“ TYPE3 ” 代表简单加入口（如图2 ）。最后点击“ Make File ” 按钮对文件加密，并且进行另存为设置。如果用户觉得有必要的话，还可以利用MaskPE 对服务端程序进行多重加密处理。


图2

第三步：重点信息加密

现在非常流行通过VMProtect 对文件进行加密，VMProtect 是一种新一代的软件保护程序。它通过在虚拟机中完成相关代码部分的保护，超强的保护力使得杀毒软件检测过程复杂化。通过VMProtect 进行加密操作，通常都是对文件的特征码地址，或者文件的入口点地址进行加密。尤其是在不知道特征码地址的时候，对入口点的几行代码进行加密，就能起到非常好的免杀保护作用，毕竟多数杀毒软件都在入口点提取特征码。
运行VMProtect 后点击“ 打开” 按钮，来选择免杀的扫描工具WebDAVScan 。首先点击程序的“ 转储” 标签找到文件的入口点，在它上面点击鼠标右键中的“ 复制” 命令。接着点击工具栏中的“ 新建” 命令，这时程序已经自动地将刚刚复制的内容添加到输入框中。
我们可以在“ 编译类型” 中选择需要的选项，直接点击“ 是” 按钮即可得到00402A44 这段地址的信息。利用同样的方法可以添加多个地址段，现在接着点击工具栏中的“ 编译” 按钮，就可以生成一个名为
“ WebDAVScan.vmp.exe ” 的加密文件了（如图3 ）。


图3

总结
文件加密虽然可以迷惑杀毒软件的眼睛，但是却无法躲过其它相关的检测手段，比如说主动防御。因为无论是木马、病毒还是流氓软件，每一种恶意程序都有自己的特点，主动防御功能就会根据这些特点对程序是否危险作出判断。另外如果你的系统已经不幸中了木马程序，有的网络防火墙也可以根据木马传输数据的特点，来对木马的类型作出准确而及时的判断。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-04-01 09:46:37,点击:65824