木马加壳软件对比解析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
上机实验报告
一、目的及要求
实验目的:
使用不同的加壳工具对已知恶意代码样本进行加壳操作,掌握不同加壳软件的使用方法,清楚各类加壳工具的加壳特点和强度。
实验要求:
(1)Aspack、Asprotect、Armadiollo和Themida等加壳工具,对恶意代码pe.exe进行加壳;
(2)比较加壳前后样本在大小、节数量、入口点等方面的变化;
(3)将加壳后的恶意代码用杀毒软件进行查杀,通过查杀结果比较各加壳工具的加壳强度。
二、环境(软、硬件平台)
虚拟机:安装winXP操作系统,各加壳软件、PE文件格式查看软件以及360杀毒软件。
工具:
(1) ASPACK 2.29:ASPACK是一种可压缩32位Windows EXE文件与DLL文件的压缩壳,能将大多数EXE文件及DLL压缩到原体积的30%-40%,比行业标准的zip文件压缩率高10%-20%;
(2) Asprotect 6.26:ASProtect是一款强大的Win32程序加壳软件,它拥有压缩、加密、反跟踪、CRC校验以及代码混淆等保护措施。它采用了Blowfish、Twofish、TEA等加密算法,并利用1024位的RSA算法作为注册密钥的生成器。它还提供API钩子与加壳程序进行通信,并为软件开发人员提供SDK,更加促进了程序与壳之间的相互融合。
(3) Armadillo 4.40:也称穿山甲,是一款应用面较广的壳。它运用多种手段来保护目标程序,同时也可以为程序加上种种限制,包括时间、次数,启动画面等等,很多商用软件采用其加壳。Armadillo 支持所有语言编写的32位PE文件。
(4) Themida是Oreans公司的一款商业壳,可以针对32位和64位的Windows程序进行保护。Themida最大特点就是采用了所谓SecureEngine的虚拟机保护技术,当它在高优先级的情况下运行时,具称能够抵御当前破解者采用的所有破解技巧。
(5) PE_Info:PE Info是一款用于查看PE文件详细信息的软件,可查看运行平台及区块数目、创建时间及日期、程序执行入口及DOS、PE头+区块表。内存中区块对齐值、文件中的区块对齐值、文件子系统、映像校验及DLL特征。
(6) pe.exe:恶意代码样本,具有感染功能。
三、内容及步骤
内容及步骤:
1.按照实验指导书在虚拟机中对pe.exe进行加壳操作,如下
开启360实时防护
检测pe.exe发现危险
加壳
Armadillo加壳36KB->540KB
ASPACK 36KB->20.5KB压缩型
ASProtect 36KB->366KB
Themida 36KB->1212KB!!! 360检测加壳后文件未报毒。
3.分析pe文件
4.加壳强度分析:
Armadillo也称穿山甲,是一款应用面较广的壳。可以运用各种手段来保护你的软件,同时也可以为软件加上种种限制,包括时间、次数,启动画面等等!很多商用软件采用其加壳。Themida是Oreans的一款商业壳,Themida 1.1以前版本带驱动,稳定性有些影响。Themida 最大特点就是其虚拟机保护技术,因此在程序中擅用SDK,将关键的代码让Themida用虚拟机保护起来。Themida最大的缺点就是生成的软件有些大。
ASProtect是一款应用面最广的加密壳,其兼容性和稳定性很好,许多商业软件采用这款壳加密。
AsPack中文版是一款高效的Win32可执行程序压缩工具,能对程序员开发的32位Windows 可执行程序进行压缩,使最终文件减小达70%!
四、问题及心得