图1
图2
我们先拿十二款加壳软件对黑社会的服务端进行加壳,一起来看看这些软件在强大的江民面前威力如何!
※※※※※
最先请出TELOCK0.98对其进行加壳,原来为160KB加壳压缩后为90KB,压缩率为55%把。压缩后的文件命名为hsht.exe,等一下一起查毒时好区分,如图3所示。
图3
※※※※※
选用的加壳工具为petite2.2,我将压缩比调到9,加壳后为76.8KB,压缩率为48%,压缩后的文件命名为hshpp.exe。如图4所示.
图4
※※※※※
选用的软件为wwwpack1.12(此软件需要注册),压缩后为73.5KB,文件名重命名为hshw.exe(忘了截图就被我卸掉了)。
※※※※※
选用nolite2.0,压缩比为37%,加壳后文件大小为100KB,文件命名为hshw.exe,如图5所示。
图5
※※※※※
选用Asprotect 1.23汉化版,加壳后为130KB,压缩比率为81.6%,文件名重命名为hsha.exe,如图6所示。
图6
※※※※※
选用幻影2.23破解版国产的一个加密软件,加密后没提示软件字节数多大,查看了一下有333KB之大,文件名重命名为hshh.exe,如图7所示。
图7
※※※※※
选用PElock demo 1.06,加壳后为94K,压缩比42%,文件名重命为hshpe.exe,如图8所示。
图8
※※※※※
选用Xtreme-protector 1.05这个软件需要注册,用起来很不方便,加壳后的文件大小竟然1.05MB太夸张了(不知道是不是我操作有问题英文版的),文件重命为hshx.exe,如图9所示。
图9
※※※※※
选用Obsidium1.1,加壳后为156KB,文件重命名为hsho.exe,如图10所示。
图10
※※※※※
选用Krypton 0.5,加壳后224KB,文件重命名为hshk.exe,如图11所示。
图11
※※※※※
选用老牌加壳软件ASPpck 2.12汉化版,加壳后78.5KB,文件重命名为hshaspack.exe。如图12所示。
图12
※※※※※
选用老牌加壳软件upx1.9汉化版,加壳后75KB,文件重命为hshupx.exe,如图13所示。
图13
现在请出江民查毒(我用的是正版的江民kv2004,病毒库也是最新的),好家伙,12个经改造的服务端被查出6个。分别是由Telock加壳的Hsht.exe;Petite2.2加壳的Hshpp.exe;Wwwpack32 1.12加壳的Hshw.exe;Neolite2.0加壳的Hshn.exe;ASPack2.12加壳的Hshaspack.exe;UPX1.9加壳的Hhshupx.exe,如图14所示。
图14
测试到这本就结束,但我突然想看看瑞星和诺盾到底比江民差到那,于是将所有文件打包发送给好友羽艺让他帮我用瑞星和诺盾查毒,结果诺盾一个都查不出,由于没查出也就没截图,倒是瑞星查到两个:Nolite2.0加的Hshn.exe和Wwwpack32加的Hshw.exe。如图15所示。
图15
现在要介绍对于ASP木马的加密,选用的木马是海阳顶瑞ASP木马2004,加密前是会被查杀的我就不截图了。现在请出维维ASP编码解码器对其进行加密,这款加密工具是图形界面,而且又可直接解码很好用,这是维维软件加密的截图,如图16所示。
TIPS:它的用法:Screnc.exe 目标文件.asp 新生成文件.asp
图16
加密后的文件经江民查毒还是被发现有病毒,如图17所示。其中Chx..asp是我用Screnc.exe这款DOS下的加密工具加密的,2004.asp则是用维维加密的,结果还是逃不过江民的追杀!试过诺盾还是查不出,晕(洋玩意强不过国货,支持国产软件吧,各位弟兄)!如图17所示。
图17
OK,所有测试完毕,由此可以看出国产江民杀毒软件的脱壳能力确是非同凡响!对于那些加壳后仍无法被查杀的怎么办呢?我想只要你装了天网防火墙后,凡是访问网络的应用程序,天网对会对其进行审核,并让用户确定(我想你不会连自己装了什么软件都不知道吧?),你就可以轻易抓住它。