木马加壳软件对比解析

上机实验报告

一、目的及要求

实验目的：

使用不同的加壳工具对已知恶意代码样本进行加壳操作，掌握不同加壳软件的使用方法，清楚各类加壳工具的加壳特点和强度。

实验要求：

(1)Aspack、Asprotect、Armadiollo和Themida等加壳工具，对恶意代码pe.exe进行加壳；

(2)比较加壳前后样本在大小、节数量、入口点等方面的变化；

(3)将加壳后的恶意代码用杀毒软件进行查杀，通过查杀结果比较各加壳工具的加壳强度。

二、环境（软、硬件平台）

虚拟机：安装winXP操作系统，各加壳软件、PE文件格式查看软件以及360杀毒软件。

工具：

(1) ASPACK 2.29:ASPACK是一种可压缩32位Windows EXE文件与DLL文件的压缩壳，能将大多数EXE文件及DLL压缩到原体积的30%-40%，比行业标准的zip文件压缩率高10%-20%；

(2) Asprotect 6.26：ASProtect是一款强大的Win32程序加壳软件，它拥有压缩、加密、反跟踪、CRC校验以及代码混淆等保护措施。它采用了Blowfish、Twofish、TEA等加密算法，并利用1024位的RSA算法作为注册密钥的生成器。它还提供API钩子与加壳程序进行通信，并为软件开发人员提供SDK，更加促进了程序与壳之间的相互融合。

(3) Armadillo 4.40：也称穿山甲，是一款应用面较广的壳。它运用多种手段来保护目标程序，同时也可以为程序加上种种限制，包括时间、次数，启动画面等等，很多商用软件采用其加壳。Armadillo 支持所有语言编写的32位PE文件。

(4) Themida是Oreans公司的一款商业壳，可以针对32位和64位的Windows程序进行保护。Themida最大特点就是采用了所谓SecureEngine的虚拟机保护技术，当它在高优先级的情况下运行时，具称能够抵御当前破解者采用的所有破解技巧。

(5) PE_Info：PE Info是一款用于查看PE文件详细信息的软件，可查看运行平台及区块数目、创建时间及日期、程序执行入口及DOS、PE头+区块表。内存中区块对齐值、文件中的区块对齐值、文件子系统、映像校验及DLL特征。

(6) pe.exe：恶意代码样本，具有感染功能。

三、内容及步骤

内容及步骤：

1．按照实验指导书在虚拟机中对pe.exe进行加壳操作，如下

开启360实时防护

检测pe.exe发现危险

加壳

Armadillo加壳36KB->540KB

ASPACK 36KB->20.5KB压缩型

ASProtect 36KB->366KB

Themida 36KB->1212KB!!! 360检测加壳后文件未报毒。

3.分析pe文件

4.加壳强度分析：

Armadillo也称穿山甲，是一款应用面较广的壳。可以运用各种手段来保护你的软件，同时也可以为软件加上种种限制，包括时间、次数，启动画面等等！很多商用软件采用其加壳。Themida是Oreans的一款商业壳，Themida 1.1以前版本带驱动，稳定性有些影响。Themida 最大特点就是其虚拟机保护技术，因此在程序中擅用SDK，将关键的代码让Themida用虚拟机保护起来。Themida最大的缺点就是生成的软件有些大。

ASProtect是一款应用面最广的加密壳，其兼容性和稳定性很好，许多商业软件采用这款壳加密。

AsPack中文版是一款高效的Win32可执行程序压缩工具，能对程序员开发的32位Windows 可执行程序进行压缩，使最终文件减小达70%!

四、问题及心得