文章大纲：

• 1、一个木马加壳的杀毒软件就检查不出来...那么 我把它去壳之后 再检测 是否能准确告诉我有无病毒、木马
• 2、如何给木马加壳
• 3、加壳文件是不是就是病毒文件或是木马？
• 4、如何对木马，病毒进行加壳，有什么代码或者软件可以用？
• 5、如何杀除木马加壳

一个木马加壳的杀毒软件就检查不出来...那么 我把它去壳之后 再检测 是否能准确告诉我有无病毒、木马

您好

不同的杀毒软件检测的方式是不同的，如果是加壳木马的话，您只要运行外壳软件，里面的木马病毒会自动运行的，一般都可以检测出来

建议您可以到腾讯电脑管家官网下载一个电脑管家

然后右击该文件——扫描病毒——电脑管家，检测一下

电脑管家拥有2大云杀毒引擎和全国更大的云病毒库，可以彻底清除电脑中的流行顽固木马，解决电脑中毒问题。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

腾讯电脑管家企业平台：

如何给木马加壳

黑客K为了达到这个目的，精心挑选了免杀木马，准备大干一场…… 上期，黑客K成功地入侵了雇主对手UU公司数据服务器，得到了一些机密文档，其中就有该公司的内部通讯录，新的挑战接踵而来…… 黑客K浏览着从UU公司数据服务器中下载回来的文件，挑选有价值的资料。他有些失望，毕竟这些资料是不能够让老板杜金满意的，他需要拿到对老板更加有诱惑力的筹码，只有这样才可以拿到更多的报酬。 黑客K很需要这笔钱让父母过上好日子，有汽车、有洋房，让他们知道自己老呆在电脑前不是不务正业。然而在他拿到UU公司真正有价值的文件前，这一切仅仅停留在他的幻想中。 突然他发现了一份详细的公司高管联系方式，详细到了每个人的家庭 *** 和家庭住址都有，甚至有些还标明了其家属的联系方式。他在电脑中细细翻看着这份名单，思索着下一步的计划：“黑掉”名单中那个叫做李飞的高管，李飞电脑中极有可能保存着老板杜金需要的策划书。 因为李飞的电脑在UU公司的内网中，要入侵他的电脑更好的办法是用木马，其他的 *** 难度较高。在正式入侵前，先要准备好木马，并确保木马能逃过李飞电脑中杀毒软件的查杀。 黑客K迅速整理着自己的思路，木马运行的之一时间杀毒软件会根据自己的病毒库对木马进行特征码检查，它会检测木马释放出的每一个文件。因此免杀思路在他脑海中清晰地整理出来，首先将木马服务端所有文件都释放出来，然后进行免杀处理，让杀毒软件无法从特征库中识别出它们，最后再将它们合并即可。 释放“潘多拉盒子”里的文件 经过慎重考虑和选择，黑客K选择了黑洞木马，并不是因为它的名气大，而是因为这款木马采用SSDT恢复技术，可以顺利绕过具有主动防御功能的杀毒软件，所以他选择了它。 小知识：SSDT是System Service Dispatch Table的简称，意思是系统服务调度表。这个表可以根据系统调用编号进行索引，以便定位函数的内存地址。而很多杀毒软件就通过修改SSDT表，将自己的服务加载到系统底层中，实现对应用程序行为的分析监控。 黑洞木马在成功入侵后会释放出DLL和SYS文件，这时杀毒软件就会检测到它们，如果不进行免杀就极有可能会被发现，就真的“出师未捷身先死”了，所以黑客K要对它们进行免杀。 在免杀前先要把它们从木马服务端程序中分离出来，而通过常规的 *** 是无法分离出木马服务端程序中的DLL和SYS文件的。如果无法分离出这两种文件，免杀就无从下手。黑客K决定用针对该版本的特制提取器将这两个文件提取出来。 打开特制提取器软件，在“未加壳EXE文件路径”中选择配置好的黑洞木马服务端，然后在“提取SYS文件路径”中选择好释放文件的文件夹。在选择完成后，点击“提取”按键，就可以成功地将SYS文件和DLL文件提取到指定的文件夹中（图1）。 加花打造免杀木马 在黑客K的整个计划中，给木马释放的文件加花是最重要的一步。加花是黑客的行话，其实就是通过反复跳转等汇编指令（俗称花指令）打乱程序的原有特征，这些纷杂混乱的汇编花指令能够让杀毒软件的特征库无法判断到底是不是病毒，这样就能达到免杀的目的。要加花，首先就要在文件里面加区，给添加花指令预留空间，接着找到程序入口地址，在此处添加花指令，最后再修改程序入口地址迷惑杀毒软件。 首先，黑客K要将分离出来的SYS的驱动文件进行加壳免杀（加壳就是利用特殊的算法对文件进行压缩，可以逃避杀毒软件的查杀），他调出名为EncrptySYS的驱动加壳工具，依次选择分离出的两个SYS文件，点击“加壳”进行驱动免杀操作（图2）。 两个SYS驱动分别加壳完毕后，黑客K用杀毒软件测试了一下，能免杀！黑客K又通过特制提取器的合并功能，将加壳后的“DLL_X.SYS”文件合并到“X.DLL”文件中，再进行加花免杀，这样双重免杀后效果更好。 接着，黑客K决定使用加花手段让DLL躲过杀毒软件的查杀，在之前他要给DLL文件增加区块，这是为了给后面需要添加的花指令留下空间，不然就添加不进去代码。他使用区块添加工具ZeroAdd给DLL文件增加区块。 在ZeroAdd中选好分离出的“X.DLL”文件，在“输入您要添加新区段的区段名”一项中随意填写了几个英文字母，又在下方的“新的区段信息的大小”选项中填入了“100”，点击“生成文件”后，就完成了全部的区块添加（图3）。 小提示：如果要求不高，免杀做到这里也可以了，直接把DLL文件导入到黑洞木马服务端中即可。 增加区块完成后，黑客K喝了口茶，正式开始为DLL文件添加花指令。他又打开汇编工具OllyDbg，加载增加区块后的DLL文件后，程序自动定位在“00501A32”这条汇编语句上，这是该DLL文件的程序入口点。 将滚动条拖到程序的下方全为00的区段处，任意选择了一个地址“00501E20”，并在这个地址处点击右键选择弹出菜单中的“汇编”命令，在弹出的汇编窗口中输入代码（图4）。他认真地填写完这段代码后，又选择右键弹出菜单中的“复制到可执行文件→选择部分”命令，在新弹出的窗口中保存这个文件即可，这样就修改了程序的入口点。 然后，黑客K又调出编辑工具PEditor将程序入口进行修改以便迷惑杀毒软件。通过“浏览”按键选中刚刚修改的DLL文件，在读出的文件信息中将入口点“00501A32”修改成与跳转入口相对应的“00501E 20”，接着点击“应用更改”按键就完成了DLL文件的加花修改全过程。 最后，黑客K还必须先将修改好的DLL文件导入到黑洞木马服务端中。他打开资源管理软件Resscope，在软件左边的列表中选择dllfile里面的getkey文件，再点击“文件→导入资源”，将修改好的DLL 文件导入到了文件中保存后，一个新的可以绕过主动防御的免杀黑洞木马诞生了。在接下来正式入侵李飞电脑时，它将成为黑客K最重要的攻击武器…… 小提示：木马经过免杀后，就不容易防范了。要对付它们，可以使用一些安全辅助工具，例如S *** 。S *** 的全称是System Safety Monitor，即系统安全监控器。它异常强大的功能能够监控到你系统中的每一个修改与变动，无论是什么样的穿墙或者免杀技术，在S *** 的监控下，都会暴露出原形。

加壳文件是不是就是病毒文件或是木马？

NO,加壳不一定就是木马病毒。加壳是一种常见的压缩或保护手段，在运行的时候，先运行外壳程序，然后由外壳程序解压正常程序再运行。加壳可以有效的压缩程序体积，也可以提供版权保护。常见的壳有北斗,upx等。某些壳可以用专用的软件脱去，某些就只能手工去壳了。

如何对木马，病毒进行加壳，有什么代码或者软件可以用？

之一步

在“运行”对话框中输入IExpress就可启动程序

在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择之一项，然后点击“下一步”按钮。[!--empirenews.page--]

第二步

接下来选择 *** 木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要 *** 的是木马解压包，所以应该选择之一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在 *** 木马程序的解压包，当然越隐蔽越好，选择之一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你 *** 的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。[!--empirenews.page--]

在保存刚才所做的设置后点击“下一步”按钮，即可开始 *** 木马自解压程序。

整个 *** 过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

如何杀除木马加壳

"木马杀不掉一般是由于木马病毒正在运行，或者有其他的病毒进程守护，回写造成的。

如果遇到rootkit这类隐藏性很高的、又释放驱动的病毒，很难处理。所以要先对病毒灭活，杀掉活体病毒之后就很容易查杀了。

之一步：下载金山互联网安全组合套装2011【百度搜索 金山毒霸2011套装】 选择下载

第二步 安装完以后,打开金山网盾,点击主界面右侧的【一键修复】的按钮,可以杀掉正在运行的病毒和系统错误。

第三步 用金山毒霸2011 全盘杀毒 或者使用金山卫士的木马查杀 进行全盘查杀

另外，一般木马病毒都会有一些插件释放，可以使用插件清理工具，金山卫士里的插件清理工具就很好用。

注意，360会拦截金山网盾安装，如果你有360，请先先卸载360安全卫士,毒霸2011互联网套装中金山卫士可以完全替代360安全卫士"