木马加壳心得

 一:通过加壳修改木马.常用的是upx,Aspack等加壳软件.但是大多数都能被查杀.所以我采用的是幻影和asprotect这两个我用幻影加没有配置的没加壳木马.用asprotec来加配置好的没加壳的木马.但是在使用的时候我发现用幻影在win98下加壳的木马在win2k下不能顺利使用不知道为什么.郁闷!用asprotec加壳的效果还可以了.

         以上知识单一的加壳.我在前几天看到了一个关于多重加壳的方法效果也不错.具体方法如下:本文所用工具：
    加壳工具：Aspack 2.11，Pecompact v1.82, UPX 1.20 资源释放工具：FreeRes 0.94 freeRes 目前支持重建可编辑资源的文件格式（只限于32位软件）包括： *.EXE、 *.DLL、 *.BPL、 *.DPL、 *.OCX、*.CPL.

        先说一下什么叫资源释放：这个，我其实也说不太明白^_^ ，应该就是利用软件运行之后[已经被CPU 在内存中解压]这个机会，提取出内存中的软件资源。FreeRes这个工具，就是提取出资源，并可以重新建立一个可以编辑的资源，主要用在汉化领域，用来释放资源后再进行汉化工作。

OK ，我们开始吧！
先用Aspack 2.11对你要加壳的木马进行第一层加壳，然后再用freeRes进行资源重建。然后再用Pecompact v1.82进行第二层加壳。（Pecompact v1.76以下版本无法进行压缩，必须使用最新的Pecompact v1.82）压缩完毕后，测试一下，木马(当然不要在你自己的机子上运行了.最好找台肉鸡练习)是否还能运行。（一般情况下是不会出错的^_^）再次用freeRes进行资源重建。继续用UPX 1.20进行压缩~ 推荐使用UPX 1.20的图形界面版本，选中“压缩输出信息”、“压缩资源”“压缩图标” 还有最重要的“强制压缩”，只有选了这个，UPX才会压缩。切记！ok，现在搞定。你的木马已经有了3层外壳了害怕他杀毒软件么?

          二:就是修改木马代码.你可以用现在网上流行的特征码定位器对木马按照专门的杀毒软件进行特征码定位然后再进行修改.通常修改的方法是把特征码的那一段代码前后颠倒顺序就可以了.(其中瑞星的特征码最好找了他在查毒的时候先把病毒特征码加载到内存里面这样可以用winhex察看内存就可以了.)

             有了以上两种方法就可以让你的肉鸡保存的长久一点了.