详谈加壳/脱壳原理 瑞星技术先锋0910期

　　卷首语:加壳木马是一个让人“闻之色变”的恶意程序，通过伪装可以骗过一些防火墙的检测，植入系统进行破坏，案例很多，危害很广，同时也是反病毒产品所要攻克的的重要技术难题……

---

　　从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了，《ZOL&瑞星技术先锋》是ZOL软件事业部和瑞星公司联手打造的安全技术分享栏目，每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……

详谈加壳/脱壳原理 瑞星技术先锋0910期（ZOL软件事业部品牌栏目）

　　同时您在使用瑞星安全软件过程中，遇到什么问题，希望得到解答，可以前往ZOL软件论坛安全板块，或致信ZOL软件事业部个人资讯组，与编辑进行联系，您的问题我们将通过筛选反馈给瑞星技术专家，同时如果您的问题非常不错，还有机会赢得瑞星公司提供的精美礼品，同时还有机会成为当月的提问明星(ZOL软件论坛“技术先锋问答帖” | ZOL软件公共邮箱：zolsoft@staff.zol.com.cn）。

　　下载:瑞星杀毒软件2009下载版 21.45.10

　　在上一期技术先锋《详谈零日攻击原理 瑞星技术先锋0909期》栏目中，为大家介绍了目前最为流行的“零日”漏洞攻击原理，而在本期栏目中，正如“卷首语”所说的，为大家介绍目前关于“加壳/脱壳”的相关信息，同时为大家送上上一周的安全风云和下周的相关预报。

　　1.加壳、脱壳原理（网络搜集）

　　所谓加壳，是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序)，以达到缩小文件体积或加密程序编码的目的。

　　当被加壳的程序运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。

　　如何判断一个可执行文件是否被加了壳呢有一个简单的方法(对中文软件效果较明显)。用记事本打开一个可执行文件，如果能看到软件的提示信息则一般是未加壳的，如果完全是乱码，则多半是被加壳的。

曾经引起广泛空幻的加壳程序生成软件

　　为什么黑客能够利用加壳技术来对抗反病毒软件呢众所周知，目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形，使加密前后的特征码完全不同。

　　脱壳能力不强的杀毒软件，对付“加壳”后病毒就需要添加两条不同的特征记录。如果黑客换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必须添加新的特征记录才能够查杀。如果杀毒软件的脱壳能力较强，则可以先将病毒文件脱壳，再进行查杀，这样只需要一条记录就可以对这些病毒通杀，不仅减小杀毒软件对系统资源的占用，同时大大提升了其查杀病毒的能力。

　　2.脱壳

　　马甲“能穿也能脱”。相应的，有加壳也一定会有解壳(也叫脱壳)。脱壳主要有两种方法：硬脱壳和动态脱壳。

　　第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。

　　第二种，是动态脱壳。由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“马甲”。目前，有一种脱壳方式是抓取(Dump)内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。

瑞星杀毒软件提供了强大的虚拟机脱壳技术

　　虚拟机脱壳引擎（VUE）技术

　　对于病毒，如果让其运行，则用户计算机就会被病毒感染。因此，一种新的思路被提出，即给病毒构造一个仿真的环境，诱骗病毒自己脱掉“马甲”。并且，“虚拟环境”和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算机有任何的影响。

　　“虚拟机脱壳”技术已经成为近年来全球安全业界公认的、解决这一问题的最有效利器。但由于编写虚拟机系统需要解决虚拟CPU、虚拟周边硬件设备、虚拟驱动程序等多个方面的困难，即使有雄厚的研发实力，也未必能在短时间内达到实用的程度。

　　经过四年多的技术创新和积累，瑞星“虚拟机”研发团队攻克了多项技术难题，在虚拟CPU、计算机周边设备的仿真模拟等方面取得了突破性的进展，在虚拟环境中可以同时运行数个完整的操作系统，成为继微软、VMWare之后全球第三家拥有自主知识产权的商用“虚拟机”技术的软件厂商。

　　通过将商用虚拟机的核心技术应用到反病毒引擎当中，瑞星“虚拟机脱壳”引擎可以将各种“加壳”病毒还原为原始状态，从而干净彻底的将其清除。

　　通过介绍，相信大家对于“加壳”、“脱壳”技术已经有所了解，确实只要装有瑞星全功能安全软件等反病毒产品，就可以有效查杀加壳文件，并通过虚拟机脱壳技术快速识别病毒“马甲”。

　　下面则是本周的相关安全预警和播报信息。

　　据瑞星“云安全”系统统计，本周瑞星共截获了265万个挂马网址。本周挂马网站主要针对“和讯”、“中国金融网”等知名搜索类、和IT类网站。由于黑客利用微软最新视频漏洞进行攻击，导致这些网站被挂马，非瑞星用户一旦访问后会立即感染恶性木马。在本周的挂马网站中截获了一个病毒值得注意，它是Trojan.Win32.KillAV.blw（AV终结者），会关闭甚至卸载国外杀毒软件，感染EXE文件，并下载木马。

多家知名网站“挂马”用户应格外警惕

　　本周关注的被挂马网站：

　 “广捷居网址大全”、“中国导医网”、“瑞丽女性网”、“和讯网”、“中国金融网”的部分页面被黑客挂马。黑客利用微软最新视频漏洞和服务器不安全设置进行入侵。用户访问这些页面后，可能会感染蠕虫下载器和大量木马病毒。

　　本周关注病毒：

　　“AV终结者木马变种BLW（Trojan.Win32.KillAV.blw）”警惕程度★★★★

　　该病毒运行后会取得系统文件夹权限，从病毒自身中释放驱动文件到system32driversacpiec.sys，并通过创建一个名为UPDATEDATA的服务进行加载。病毒会遍历进程，使用FreeMem释放内存结束多个杀毒软件，如发现卡巴斯基的文件avp.exe，会将其卸载。病毒还会修改系统时间、hosts文件，并感染exe文件，最后会从指定地址下载木马到本机运行。

　　本周警示：

　　根据瑞星“云安全”系统发现，本周共拦截了1589万次木马网站对用户的攻击，共拦截了265万个挂马网址，比前周增长了137万个。在这些挂马网站中，大部分都利用了微软最新的视频漏洞进行攻击。此前“奇虎网”被挂马也是由于黑客利用了此漏洞导致的。

　　据瑞星专家介绍，该漏洞主要针对windowsxp和windows2003系统，目前国内大部分个人用户使用的是windowsxp系统，如不及时更新补丁或者没有使用能够有效防护挂马网站的杀毒软件将十分危险。

通过卡卡可快速清除系统中存在的漏洞信息

　　专家提醒安全防范措施：

　　使用瑞星2009杀毒软件，可以有效防范各种挂马网站攻击，避免因0day漏洞导致的防御空挡；

　　使用瑞星卡卡上网安全助手6.0，随时自动更新微软最新漏洞补丁；

　　编辑点评：

　　在本期ZOL&瑞星技术先锋栏目中，为大家讲解了“零日”漏洞的相关原理和传播途径、防御方式，相信能够给予您启迪和参照。让大家进一步了解到瑞星全功能安全软件带给你的全面保护。

　　作为ZOL软件事业部安全行业品牌栏目 - ZOL&瑞星技术先锋栏目将长期举办，邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧，敬请广大网友期待！也非常希望您能给参与到我们的栏目中来。