Invisible Man

a) 執法部門專用
下列兩個插件只針對執法部門銷售

b) IT安全管理員/eDiscovery 和執法部門使用
下列插件包含在標準的MacLockPick II 套裝中

• 打入、打出的電話記錄、日期時間
• In接收、發送的短信息，包含電話號碼、姓名、短信內容、日期、時間
• IMEI - (The International Mobile Equipment Identity )
• TMSI - （Temporary Mobile Subscriber Identity"）
• IMSI - An International Mobile Subscriber Identity
• 快速撥號 - 快速撥號中設定的姓名和電話
• Safari State Documents - Safari瀏覽器打開的頁面
• Safari History - Safari瀏覽器訪問過的頁面
• Safari Bookmarks - 所有收藏的地址
• 記事本記錄的便簽
• 通訊錄，聯繫人，包含每個聯繫人的撥叫紀錄
• 郵箱設置信息
• 其他....

• 收藏夾中的收藏網站
• 歷史記錄 - 網站訪問記錄
• Cookies
• 下載記錄 - 下載的URL地址和文件名
• 自動表單 - 自動記錄的名稱、地址、及其他信息

• 收藏夾中的收藏網站
• 歷史記錄 - 網站訪問記錄
• Cookies
• 下載記錄 - 下載的URL地址和文件名

• 收藏夾中的收藏網站
• 歷史記錄 - 網站訪問記錄
• Cookies
• 下載記錄 - 下載的URL地址和文件名

• VoIP 電話記錄，包含姓名和電話號碼
• 聊天記錄，包含聊天人的名稱、聊天內容和日期時間
• SMS 短信息，包含名稱、電話，短信內容
• 文件傳送記錄
• 好友列表，包括從其他系統導入的地址信息
• 其他....

• 用戶名
• 計算機名稱
• 操作系統m
• 系統序列號
• 處理器
• RAM
• 型號
• UUID
• 時區
• 國家代碼
• 其他

• 2 GB
• 31.3mm x 12.4mm x 3.4mm
• 防震防水
• USB2.0 30MB/秒
• Mac OS X, Windows, Linux 兼容

格式化為 FAT32，是唯一支持所有操作系統的分區格式。

跨平台密碼破解器Ophcrack的破解速度簡直是不可思議。到底有多快呢？它能在160秒內破解『Fgpyyih804423』這個密碼。很多人都認為這個密碼已經相當安全了，例如微軟的密碼強度檢查工具認為該密碼的安全級別是
「強」；而Geekwisdom密碼強度測量工具認為該密碼的安全強度是「普通」。

Ophcrack的破解速度為什麼會這麼快呢？這是因為它使用了Rainbow Tables，我說的可不是天上的那種彩虹。

不過，Rainbow Tables也是很美的。

要想理解Rainbow Tables的工作原理，首先你得明白電腦是如何儲存密碼的，不管是在你自己用的桌上型電腦還是在遠端的網路伺服器那裡。

一般而言，密碼決不會儲存在純文字檔案中。至少我們不應該這麼做，除非你用的是世界上最幼稚的程式，而且你的目的就是構建世界上最不安全的系統。實際上，我們應當用雜湊(Hash)函數的輸出值來儲存密碼。雜湊是不可逆(單向)運算，即使攻擊者能夠讀取密碼的雜湊表，他也不可能僅僅透過那個雜湊表來重建密碼。

但是攻擊者可以用Rainbow Hash Tables來攻擊密碼的雜湊表：透過龐大的、針對各種可能的字母組合，預先計算好其雜湊值。雖然攻擊者也可以即時計算雜湊值，但是利用這個預先算好的龐 大雜湊表，顯然能夠使攻擊的速度快上無數倍——假設攻擊機器有足夠的記憶體來載入整個表格(或至少是大部分)，這就是個很典型的時間-記憶體取捨問題 (time-memory trade-off)，尤其是駭客更傾向於使用這種捷徑。

Rainbow Tables有多龐大呢？Ophcrack的預設安裝畫面會讓你有個大致上的概念：

產生這些龐大的Rainbow Tables需要花很長時間，但是一旦完成，每個發動攻擊的電腦破解密碼能力都將大幅增強。

現有最小Rainbow Tables涵蓋了最基本的英文字母及數字，光這樣它的大小就有388MB。這是Ophcrack開機光碟預設使用的雜湊表。但即使這個最小的表格也具有相當的效力。我曾用它來攻擊一個Windows XP虛擬機器上的密碼，結果如下：

當然，用這種最小的Rainbow Tables無法破解那種帶有特殊字元的密碼(比如%&^$#)，因為表格里根本沒有包含這些字元。你可能也注意到了那些passphrase (我特別鍾愛使用它們)，由於本身的長度關係，passphrase對此項技術是免疫的。但是，話又說回來了，該攻擊可以在11分鍾內破解所有14位元數 字及英文字密碼組合中的99.9%，這還是用了最小的Rainbow Tables。表格越大、越完整，攻擊破解能力越強。Ophcrack檔案描述了它所能使用的Rainbow Tables之間的差異：

數字及英文字母表格(10k) 388MB 包含所有英文字母及數字混合密碼中99.9%的LanManager表，由於LanManager會將密碼拆成兩組7個字元的設計，長度1~14個字的密 碼都可以用這個表格破解，而且LanManager的雜湊不分大小寫，這個表格中所含的800億個雜湊值可用以破解2的83次方種密碼組合）。

數字及英文字母表格(5k) 720MB 包含所有英文字母及數字組合的密碼中99.9%的LanManager表。但是，由於表格變成2倍大，如果你的電腦有1GB以上的記憶體空間的話，它的破解速度是前一個的4倍。

延伸表格 7.5GB 包含最長14個大小寫字母、數字以及下列33個特殊字元(!"#$%&'()*+,-./:;<=>?@[\]^_`{|} ~)組成的LanManager雜湊表中的96%密碼。該表格中大約有7兆種的組合，可以涵蓋5*10的12次方(或2的92次方)種密碼。

NT 8.5 GB 當LanManager雜湊被停用時，我們可以使用此表格來破解電腦上的NT雜湊表。該表包含了以下組合中的90%密碼：
•長度1~6，由大小寫字母、數字以及33個特殊字元組合的密碼
•長度為7，由大小寫字母及數字組成的密碼
•長度為8，由小寫字母及數字組成的密碼

該表格包含7兆種組合，亦對應7兆種密碼（NT雜湊表不存在LanManager雜湊表的弱點）。

需要注意的是，所有這些Rainbow Tables都有其特定適用的密碼長度和字母組合。太長的密碼，或者用了表格中沒有的字元，那麼用Rainbow Tables就無法破解。

不幸的是，由於舊式LanManager雜湊表不可原諒的缺點，Windows伺服器特別容易被Rainbow Tables攻擊。令我吃驚的是，Windows Server 2003在預設狀態下竟然還支援那些舊式Lan Manager雜湊表。我強烈建議大家停用Lan Manager雜湊表，尤其是在那些儲存所有使用者認證的伺服器上(如 DC)。雖然這將對你的Windows 98使用者造成很大的不便，但是我覺得為了提高安全性，這麼做是值得的。

我聽說明年發佈的Windows Server 2008會將LanManager雜湊表去掉。Windows Vista已經不支援持這些過時的雜湊表了。在Vista系統中執行OphCrack的話結果請看下列對話方塊：

All LM hashes are empty. Please use NT hash tables to crack the remaining hashes.

對某些人而言，Ophcrack可能彈性不足，像是它不允許你自己產生Rainbow Tables，因此，你得用Project Rainbow Crack， 該工具能用來破解幾乎所有字母組合以及任何雜湊演算法。但你得當心，Rainbow Tables攻擊最近才盛行的原因是由於電腦的2~4GB記憶體最近才降到了讓人能接受的價格。我想說的是這些表格很龐大，對於攻擊安全性更高的NT雜湊 表所需的Rainbow Tables大小如下：

但是如果駭客從遠端伺服器或資料庫獲得大量密碼雜湊表，我們就有麻煩了，這種情況下，遭受Rainbow Tables攻擊的風險非常大。因此你決不能只依靠雜湊技術——你必須給雜湊表加些花樣(Salting)，這樣得到的雜湊值就與眾不同了。給雜湊表加花 樣，聽起來很複雜，但其實很簡單。在產生雜湊表之前，給密碼加個唯一的值即可：

hash = md5('deliciously-salty-' + password)

這樣，攻擊者就無法用Rainbow Tables來攻擊你了——「密碼」和「deliciously-salty」產生的雜湊結果是不匹配的。除非駭客能知道你所選用的值，即使真的知道，他 也得專門針對你的機器產生一個專屬的Rainbow Tables。(編輯：資安之眼)

資安專家 Thomas Ptacek 針對這篇文章提出了更多深入的探討，我推薦大家能前往閱讀。

系統"服務"是windows系統的一大核心部分，在NT/2000/2003/XP架構系統中，服務是指執行指定系統功能的程式、例行程序，以便支援其他程式，尤其是底層核心(接近硬體)程式。

而通過網路提供服務時，服務可以在Active Directory(AD)中發佈，從而促進了以服務為中心的管理和使用。
服務是一種應用程式類型，它在後端運行。服務應用程式通常可以在本地和通過網路的用戶端提供一些功能，例如：客戶端/伺服器架構下的應用程式、web伺服器、資料庫伺服器以及其它基於伺服器的應用程式。

" 服務"自身也是一種程式，由於使用的領域和作用不同，服務程式也有兩種形式：exe和dll，採用dll 形式的服務是因為 dll 能實現hook，這是一些服務必需的資料交換行為，而NT架構系統採用一個被稱為"svchost.exe"的程式來執行dll 的載入過程，所有服務dll都統一由這個程式根據特定分組載入記憶體，然而，如今越來越多病毒作者看上了這個系統自動運作的載入程序，因為它永遠也不能被 防毒軟體查殺。
病毒作者將木馬主體寫成一個符合微軟開發文件規範的服務性質稱為：dll 的模組文件，然 後通過一段安裝程式，將木馬dll放入系統目錄，並在服務管理器(SCM)裡註冊自身為通過"svchost.exe"載入的服務 dll 元件之一，為了提高隱蔽性，病毒作者甚至直接替換系統裡某些不太重要而預設開啟的服務載入代碼，如：distributed link tracking client，其預設的啟動語法是"svchost -k netsvcs"，如果有個病毒替換了啟動語法為自己建立的 分組"netsvsc"，即"svchost -k netsvsc"，在這種旁門左道加社會工程學的攻勢下，即使是具備一般解毒經驗的使用者也難以在第一時間內察覺到問題出自服務的啟動項目，於是病毒得以 成功逃離各種防毒軟體的查殺。

目前被發現使用此方法的木馬已經出現，其中一個Process名為"ad1.exe"的廣告程式就是典型例 子，它通過替換"distributed link tracking client"服務的 svchost 啟動項目來躲過一般的手工查殺，同時它自身還是個病毒下載器，一旦系統感染了這個惡意程式，各種木馬都有可能光臨你的機器。

要清理dll木馬，可以借助於第三方管理工具[ process explorer ]，利用它的"find handle or dll"功能，能迅速搜索到某個dll依附的Process資訊並終結，讓dll失去載體後就能成功刪除，而dll木馬的文件名為了避免和系統 dll 發生衝突，一般不會起得太專業，甚至有 safaf.dll 、est.dll 這樣的命名出現，或者在某些系統下根本不會出現的文件名，如 kernel.dll、rundll32.dll 等。除了使用[ process explorer ]搜尋並終止進程以外，還可以用 icesword 強行卸載某個Process裡的dll 模組來達到效果。

對 於服務性質的dll，我們仍然使用[ process explorer ]進行查殺，由於它的層次結構，用戶可以很直覺的看到Process的啟動連結，如果一台機器感染了殺不掉的頑固木馬，有經驗的使用者做的第一件事情就是 禁止掉不相關或者不重要的程式和服務在開機時運行，然後使用[ process explorer ]觀察各個進程的情況，通過svchost.exe 啟動的 dll木馬 雖然狡猾，但是它釋放出exe運行時，一切都暴露了：一個svchost.exe 服務進程執行了一個 ad1.exe，還有比這更明顯的嗎？

svchost 的分組資訊位於註冊表的"hkey_local_machine\software\microsoft\windows nt\currentversion\svchost"項目，這是svchost載入dll 時的分組依據，如果用戶發現了一個奇怪的分組資訊，那就要提高警覺了。

隱藏技術發展的顛峰：Rootkit 木馬

隨 著安全技術的發展和電腦用戶群的技術提高，一般的木馬後門越來越難生存，於是一部分有能力的後門作者把眼光投向了系統底層：ring 0。位於ring 0層的是系統核心模組和各種驅動程式模組，所以位於這一層的木馬也是以驅動的形式生存的，而不是一般的exe。後門作者把後門寫成符合wdm規範 （windows driver model）的驅動程式模組，把自身添加進註冊表的驅動程式載入入口，便實現了「無啟動項」運行。一般的Process查看器都只能列舉可執行文件exe 的資訊，所以通過驅動模組和執行文件結合的後門程式便得以生存下來，由於它運行在ring 0級別，擁有與系統核心同等級的許可權，因此它可以更輕易的把自己隱藏起來，無論是進程資訊還是文件體，甚至通訊的端口和流量也能被隱藏起來，在如此強大 的隱藏技術面前，無論是任務管理器還是系統配置實用程式，甚至系統自帶的註冊表工具都失去了效果，這種木馬，就是讓人問之色變的Rootkit。

要 瞭解 Rootkit 木馬的原理，就必須從系統原理說起，我們知道，作業系統是由內核（kernel）和外殼（shell）兩部分組成的，內核負責一切實際的工作，包括cpu 任務調度、記憶體分配管理、設備管理、文件操作等，外殼是基於內核提供的交互功能而存在的介面，它負責指令傳遞和解釋。由於內核和外殼負責的任務不同，它 們的處理環境也不同，因此處理器提供了多個不同的處理環境，把它們稱為運行級別（ring），ring讓程式指令能訪問的電腦資源依次逐級遞減，目的在於 保護電腦遭受意外損害——內核運行於ring 0級別，擁有最完全最底層的管理功能，而到了外殼部分，它只能擁有ring 3級別，這個級別能操作的功能極少，幾乎所有指令都需要傳遞給內核來決定能否執行，一旦發現有可能對系統造成破壞的指令傳遞（例如超越指定範圍的記憶體讀 寫），內核便返回一個「非法越權」標誌，發送這個指令的程式就有可能被終止運行，這就是大部分常見的「非法操作」的由來，這樣做的目的是為了保護電腦免遭 破壞，如果外殼和內核的運行級別一樣，用戶一個不經意的點擊都有可能破壞整個系統。

由於 ring 的存在，除了由系統內核載入的程式以外，由外殼調用執行的一般程式都只能運行在ring 3級別，也就是說，它們的操作指令全部依賴於內核授權的功能，一般的進程查看工具和殺毒軟體也不例外，由於這層機制的存在，我們能看到的進程其實是內核 「看到」並通過相關介面指令（還記得api嗎？）反饋到應用程式的，這樣就不可避免的存在一條數據通道，雖然在一般情況下它是難以被篡改的，但是不能避免 意外的發生，Rootkit正是「製造」這種意外的程式。簡單的說，Rootkit實質是一種「越權執行」的應用程式，它設法讓自己達到和內核一樣的運行 級別，甚至進入內核空間，這樣它就擁有了和內核一樣的訪問許可權，因而可以對內核指令進行修改，最常見的是修改內核枚舉進程的api，讓它們返回的數據始 終「遺漏」Rootkit自身進程的資訊，一般的進程工具自然就「看」不到Rootkit了。更高級的Rootkit還篡改更多api，這樣，用戶就看不 到進程（進程api被攔截），看不到文件（文件讀寫api被攔截），看不到被打開的端口（網路組件sock api被攔截），更攔截不到相關的網路數據包（網路組件ndis api被攔截）了，我們使用的系統是在內核功能支援下運作的，如果內核變得不可信任了，依賴它運行的程式還能信任嗎？

但即使是Rootkit這一類恐怖的寄生蟲，它們也並非所向無敵的，要知道，既然Rootkit是利用內核和ring 0配合的欺騙，那麼我們同樣也能使用可以「越權」的檢查程式，繞過api提供的數據，直接從內核領域裡讀取Process列表，因為所有Process在這裡都不可能把自己隱藏，除非它已經不想運行了。也就是說，內核始終擁有最真實的進程列表和主宰權，只要能讀取這個原始的進程列表，再和進程api枚舉的進程列表對比，便能發現Rootkit進程，由於這類工具也「越權」了，因而對Rootkit進行查殺也就不再是難事，而Rootkit進程一旦被清除，它隱藏自身的措施也就不復存在，內核就能把它「供」出來了，用戶會突然發現那個一直「找不到」的Rootkit程式文件已經老實的呆在文件管理器的視圖裡了。這類工具現在已經很多，例如icesword、patchfinder、gdb等。

道高一尺，魔高一丈，因為目前的主流 Rootkit 檢測工具已經能檢測出許多Rootkit木馬的存在，因此一部分Rootkit作者轉而研究 Rootkit 檢測工具的運行檢測演算法機制，從而製作出新一代更難被檢測到的木馬：futo Rootkit。

優秀檢測工具icesword在futo面前敗下陣來，因為futo編寫者研究的檢測工具原型就是一款與之類似的black & light，所以我們只能換用另一款Rootkit檢測工具darkspy，並開啟「強力模式」，方可正常查殺Rootkit。

但 是由於檢測機制的變化，darkspy要檢測到futo的存在，就必須保證自己的驅動比futo提前載入運行，這就涉及到優先級的問題，也是讓業界感覺不 太滿意的一種方式，因為這樣做的後果會導致系統運行效率下降，不到緊急關頭，都不要輕易採用這種方法，然而現在的瑞星卡卡助手所推廣的「破甲」技術，實現 原理是與之類似的，它也會對系統造成一定影響，因而，這個介於安全和效率之間的選擇，唯有留給用戶自己思考了。

註：一旦木馬利用了Rootkit 技術，就變得十分難以辨認清除。

轉自網路攻防戰

查找及移除的免費工具列表

1.檔案完整性檢查：MD5 , Tripwire

2.Process監控：ProcessExplorer , Process Quick Access,KillBox

3.Registry監控：Regmon

4.開機監控：Autoruns , Autostart Viewer

5.File監控：Filemon , FileDate Changer

6.Port監控：TCPView , TDIMon , Fport

7.Network監控：Ethereal , myNetMon , MRTG , NetTools

8.Rootkit偵測：Icesword , RootkitRevealer, F-Secure BlackLight

9.Windows Live CD：WinPE , BartPE

10.多合一檢測工具：Hijackthis , InstallRite

識別及移除惡意程式其原則與注意事項

1.如果防毒軟體有更新過新的病毒碼就先使用新的病毒碼再掃過一遍

2.關閉WinME,WinXP的系統還原功能

3.在「安全模式」可以刪除病毒及綁架程式，但無法刪除在Boot Mode(出現Logo時)就載入啟動的惡意程式

4.儘量不要馬上刪容易引起當機的系統程式(例如：winlogon.exe,svchost.exe,explorer.exe,lsass.exe, services.exe)萬一真的被注入DLL Injection請使用Live CD(WinPE)光碟開機後再去刪DLL檔案

5.所謂的清除成功是指「開機後沒再出現」其要Disable惡意程式的行為使其不能運作，而不是一定要刪除中毒的所有檔案。 (太花時間)

參考資料：

惡意程式論壇 http://www.malware-test.com/

愛克索夫實驗室 http://x-solve.com/blog

惡意程式最常修改的地方

http://malware-test.com/smf/index.php?topic=1117.0

工具：

1.http://www.microsoft.com/technet/sysinternals/default.mspx

2.http://www.sysinternals.com/SecurityUtilities.html

3.http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.htm

4.http://www.spywareinfo.com/~merijn/programs.php

轉自網路攻防戰

註：以下文章非本人撰寫為中國大陸網路轉載文章，但因找不到原著作人只能於這特此感謝，如能聯絡上會再加以標註原出處，如著作人覺得不妥請來信告知。

殼是什麼？脫殼又是什麼？這是很多經常感到迷惑和經常提出的問題，其實這個問題一點也不幼稚。當你想聽說脫殼這個名詞並試著去瞭解的時候，說明你已經在各個安全站點很有了一段日子了。下面，我們進入「殼」的世界吧。

一、金蟬脫殼的故事
我 先想講個故事吧。那就是金蟬脫殼。金蟬脫殼屬於三十六計中的混戰計。金蟬脫殼的本意是：寒蟬在蛻變時，本體脫離皮殼而走，只留下蟬蛻還掛在枝頭。此計用於 軍事，是指通過偽裝擺脫敵人，撤退或轉移，以實現我方的戰略目標的謀略。穩住對方，撤退或轉移，決不是驚慌失措，消極逃跑，而是保留形式，抽走內容，穩 住對方，使自己脫離險境達到己方戰略目標，己方常常可用巧妙分兵轉移的機會出擊另一部分敵人。三國時期，諸葛亮六出祁山，北伐中原，但一直未能成功，終於 在第六次北伐時，積勞成疾，在五丈原病死於軍中。 維遵照諸葛亮的吩咐，在諸葛亮死後，秘不發喪，對外嚴密封鎖消息。他帶著靈柩，秘密率部撤退。司馬懿派部隊跟蹤追擊蜀軍。姜維命工匠仿諸葛亮摸樣，雕了一 個木人，羽扇綸巾，穩坐車中。並派楊儀率領部分人馬大張旗鼓，向魏軍發動進攻。魏軍遠望蜀軍，軍容整齊，旗鼓大張，又見諸葛亮穩坐車中，指揮若定，不知蜀 軍又耍什麼花招，不敢輕舉妄動。司馬懿一向知道諸葛亮「詭計多端」，又懷疑此次退兵乃是誘敵之計，於是命令部隊後撤，觀察蜀軍動向。姜維趁司馬懿退兵的大 好時機，馬上指揮主力部隊，迅速安全轉移，撤回漢中。等司馬懿得知諸葛亮已死，再進兵追擊，為時已晚。相信這個故事，大家在大型連續劇《三國演義》裡已經 看過了。呵呵，只是沒有理解得這麼深入罷了！而在駭客入侵技術中，金蟬脫殼則是指：刪除系統運行日誌攻擊者攻破系統後，常刪除系統運行日誌，隱藏自己的痕 跡...呵呵。

二、殼，脫殼，加殼
在自然界中，我想大家對 殼這東西應該都不會陌生了，由上述故事，我們也可見一斑。自然界中植物用它來保護種子，動物用它來保護身體等等。同樣，在一些計算機軟件裡也有一段專門負 責保護軟件不被非法修改或反編譯的程式。它們一般都是先於程式運行，拿到控制權，然後完成它們保護軟件的任務。就像動植物的殼一般 都是在身體外面一樣理所當然（但後來也出現了所謂的「殼中帶籽」的殼）。由於這段程式和自然界的殼在功能上有很多相同的地方，基於命名的規則，大家就把這 樣的程式稱為「殼」了。就像計算機病毒和自然界的病毒一樣，其實都是命名上的方法罷了。 從功能上抽像，軟件的殼和自然界中的殼相差無幾。無非是保護、隱蔽殼內的東西。而從技術的角度出發，殼是一段執行於原始程式前的代碼。原始程式的代碼在加 殼的過程中可能被壓縮、加密……。當加殼後的檔執行時，殼－這段代碼先於原始程式運行，他把壓縮、加密後的代碼還原成原始程式代碼，然後再把執行權交還給 原始代碼。 軟件的殼分為加密殼、壓縮殼、偽裝殼、多層殼等類，目的都是為了隱藏程式真正的OEP（入口點，防止被破解）。關於「殼」以及相關軟件的發展歷史請參閱吳朝相先生的《一切從「殼」開始》。
（一）殼的概念
作 者編好軟件後，編譯成exe可執行文件。 1.有一些版權資訊需要保護起來，不想讓別人隨便改動，如作者的姓名，即為了保護軟件不被破解，通常都是採用加殼來進行保護。 2.需要把程式搞的小一點，從而方便使用。於是，需要用到一些軟件，它們能將exe可執行文件壓縮， 3.在駭客界給木馬等軟件加殼脫殼以躲避殺毒軟件。實現上述功能，這些軟件稱為加殼軟件。
（二）加殼軟件最常見的加殼軟件
ASPACK ，UPX，PEcompact 不常用的加殼軟件WWPACK32；PE-PACK ；PETITE NEOLITE
（三）偵測殼和軟件所用編寫語言的軟件
因為脫殼之前要查他的殼的類型。
1.偵測殼的軟件fileinfo.exe 簡稱fi.exe（偵測殼的能力極強）。
2.偵測殼和軟件所用編寫語言的軟件language.exe（兩個功能合為一體，很棒），推薦language2000中文版（專門檢測加殼類型）。
3.軟件常用編寫語言Delphi，VisualBasic（VB）---最難破，VisualC（VC）。
（四）脫殼軟件
軟 件加殼是作者寫完軟件後，為了保護自己的代碼或維護軟件產權等利益所常用到的手段。目前有很多加殼工具，當然有盾，自然就有矛，只要我們收集全常用脫殼工 具，那就不怕他加殼了。軟件脫殼有手動脫和自動脫殼之分，下麵我們先介紹自動脫殼，因為手動脫殼需要運用彙編語言，要跟蹤斷點等，不適合初學者，但我們 在後邊將稍作介紹。
加殼一般屬於軟件加密，現在越來越多的軟件經過壓縮處理，給漢化帶來許多不便，軟件漢化愛好者也不得不學習掌握這種技能。現在 脫殼一般分手動和自動兩種，手動就是用TRW2000、TR、SOFTICE等調試工具對付，對脫殼者有一定水準要求，涉及到很多彙編語言和軟件調試方面 的知識。而自動就是用專門的 脫殼工具來脫，最常用某種壓縮軟件都有他人寫的反壓縮工具對應，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，如：ASPACK，就需要 UNASPACK對付，好處是簡單，缺點是版本更新了就沒用了。另外脫殼就是用專門的脫殼工具來對付，最流行的是PROCDUMP v1.62 ，可對付目前各種壓縮軟件的壓縮檔。在這裡介紹的是一些通用的方法和工具，希望對大家有幫助。我們知道檔的加密方式，就可以使用不同的工具、不同的方法進 行脫殼。下面是我們常常會碰到的加殼方式及簡單的脫殼措施，供大家參考： 脫殼的基本原則就是單步跟蹤，只能往前，不能往後。脫殼的一般流程是：查殼->尋找OEP->Dump->修復 找OEP的一般思路如下： 先看殼是加密殼還是壓縮殼，壓縮殼相對來說容易些，一般是沒有異常，找到對應的popad後就能到入口，跳到入口的方式一般為。 我們知道文件被一些壓縮加殼軟件加密，下一步我們就要分析加密軟件的名稱、版本。因為不同軟件甚至不同版本加的殼，脫殼處理的方法都不相同。

常用脫殼工具：
1、文件分析工具（偵測殼的類型）：Fi，GetTyp，peid，pe-scan。
2、OEP入口查找工具：SoftICE，TRW，ollydbg，loader，peid 。
3、dump工具：IceDump，TRW，PEditor，ProcDump32，LordPE。
4、PE文件編輯工具PEditor，ProcDump32，LordPE。
5、重建Import Table工具：ImportREC，ReVirgin。
6、ASProtect脫殼專用工具：Caspr（ASPr V1.1-V1.2有效），Rad（只對ASPr V1.1有效），loader，peid 。
（1）Aspack： 用的最多，但只要用UNASPACK或PEDUMP32脫殼就行了。
（2）ASProtect+aspack：次之，國外的軟件多用它加殼，脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識，但最新版現在暫時沒有辦法。
（3）Upx： 可以用UPX本身來脫殼，但要注意版本是否一致，用-D 參數。
（4）Armadill： 可以用SOFTICE+ICEDUMP脫殼，比較煩。
（5）Dbpe： 國內比較好的加密軟件，新版本暫時不能脫，但可以破解。
（6）NeoLite： 可以用自己來脫殼。
（7）Pcguard： 可以用SOFTICE+ICEDUMP+FROGICE來脫殼。
（8）Pecompat： 用SOFTICE配合PEDUMP32來脫殼，但不要專業知識。
（9）Petite： 有一部分的老版本可以用PEDUMP32直接脫殼，新版本脫殼時需要用到SOFTICE+ICEDUMP，需要一定的專業知識。
（10）WWpack32： 和PECOMPACT一樣其實有一部分的老版本可以用PEDUMP32直接脫殼，不過有時候資源無法修改，也就無法漢化，所以最好還是用SOFTICE配合 PEDUMP32脫殼。

我 們通常都會使用Procdump32這個通用脫殼軟件，它是一個強大的脫殼軟件，他可以解開絕大部分的加密外殼，還有腳本功能可以使用腳本輕鬆解開特定外 殼的加密文件。另外很多時候我們要用到exe可執行文件編輯軟件ultraedit。我們可以下載它的漢化註冊版本，它的註冊機可從網上搜到。 ultraedit打開一個中文軟件，若加殼，許多漢字不能被認出 ultraedit打開一個中文軟件，若未加殼或已經脫殼，許多漢字能被認出 ultraedit可用來檢驗殼是否脫掉，以後它的用處還很多，請熟練掌握例如，可用它的替換功能替換作者的姓名為你的姓名注意字節必須相等，兩個漢字替 兩個，三個替三個，不足處在ultraedit編輯器左邊用00補。

常見的殼脫法：
（一） aspack殼 脫殼可用unaspack或caspr 1.unaspack ，使用方法類似lanuage，傻瓜式軟件，運行後選取待脫殼的軟件即可. 缺點：只能脫aspack早些時候版本的殼，不能脫高版本的殼 2.caspr第一種：待脫殼的軟件（如aa.exe）和caspr.exe位於同一目錄下，執行windows起始菜單的運行，鍵入 caspr aa.exe脫殼後的文件為aa.ex_，刪掉原來的aa.exe，將aa.ex_改名為aa.exe即可。使用方法類似fi 優點：可以脫aspack任何版本的殼，脫殼能力極強缺點：Dos介面。第二種：將aa.exe的圖標拖到caspr.exe的圖標上***若已偵測出是 aspack殼，用unaspack脫殼出錯，說明是aspack高版本的殼，用caspr脫即可。
（二）upx殼 脫殼可用upx待脫殼的軟件（如aa.exe）和upx.exe位於同一目錄下，執行windows起始菜單的運行，鍵入upx -d aa.exe。
（三）PEcompact殼 脫殼用unpecompact 使用方法類似lanuage傻瓜式軟件，運行後選取待脫殼的軟件即可。
（四）procdump 萬能脫殼但不精，一般不要用 使用方法：運行後，先指定殼的名稱，再選定欲脫殼軟件，確定即可脫殼後的檔大於原文件由於脫殼軟件很成熟，手動脫殼一般用不到。

三、壓縮與脫殼
現 在脫殼一般分手動和自動兩種，手動就是用TRW2000、TR、SOFTICE等調試工具對付，對脫殼者有一定水準要求。而自動就稍好些，用專門的脫殼 工具來脫，最常用某種壓縮軟件都有他人寫的反壓縮工具對應，有些壓縮工具自身能解壓，如UPX；有些不提供這功能，如：ASPACK，就需要 UNASPACK對付。很多檔使用了一些壓縮加殼軟件加密過，這就需要對檔進行解壓脫殼處理後，才能漢化。這種壓縮與我們平時接觸的壓縮工具如 winzip，winrar等壓縮不同，winzip和winrar等壓縮後的檔不能直接執行，而這種 EXE 壓縮軟件，EXE檔壓縮後，仍可以運行。這種壓縮工具把檔壓縮後，會在檔開頭一部分，加了一段解壓代碼。執行時該文件時，該代碼先執行解壓還原文件，不過 這些都是在內存中完成的，由於微機速度快，我們基本感覺不出有什麼不同。這樣的程式很多，如 The bat，Acdsee，Winxfile等等。
要脫殼就應先瞭解常用壓縮工具有哪些，這樣知己知彼，如今越來越多的軟件商喜歡用壓縮方式發行自己的產品，如The bat！用UPX壓縮，ACDSEE3.0用ASPACK壓縮等。
它有以下因素：
一是：微 機性能越來越好，執行過程中解壓使人感覺不出來，用戶能接受（給軟件加殼，類似WINZIP 的效果，只不過這個加殼壓縮之後的檔，可以獨立運行，解壓過程完全隱蔽，都在內存中完成。解壓原理，是加殼工具在檔頭裡加了一段指令，告訴CPU，怎 麼才能解壓自己。現在的CPU都很快，所以這個解壓過程你看不出什麼異常。因為軟件一下子就打開了，只有你機器配置非常差，才會感覺到不加殼和加殼後的軟 件運行速度的差別。）。　
二是：壓縮後軟件體積縮小，便於網絡傳輸。
三是：增 加破解的難度。首先，加殼軟件不同於一般的winzip，winrar等壓縮軟件.它是壓縮exe可執行檔的，壓縮後的檔可以直接運行.而 winzip，winrar等壓縮軟件可壓縮任何檔，但壓縮後不能直接運行。很多站點不允許上傳可執行檔，而只能上傳壓縮的檔，一方面處於速度考慮，也是 為了安全性考慮。用加殼軟件壓縮的檔就是體積縮小，別的性質沒改變。還是EXE文件，仍可執行，只是運行過程和以前不一樣了。壓縮工具把檔壓縮後，在檔開 頭一部分，加了一段解壓代碼。執行時該文件時，該代碼先執行解壓還原文件，不過這些都是在內存中完成的，由於微機速度快，我們基本感覺不出 有什麼不同。

四﹑加殼與木馬
木 馬危害無窮，但是隨著人們對各種木馬知識的瞭解，殺毒和專殺工具的特殊照顧，使得很多木馬無藏身之地，但很多高手到處賣馬，號稱不會被查殺。它們究竟是如 何躲在我們的系統中的呢？ 其實無非對木馬進行「加/脫殼」。對於駭客來說，加/脫殼技術被淋漓盡致地應用到了偽裝木馬客戶端上，目的是為了防止被殺毒軟件反跟蹤查殺和被跟蹤調試， 同時也防止演算法程式被別人靜態分析。最基本的隱藏：不可見窗體＋隱藏文件。木馬程式
採用「進程隱藏」技術： 第一代進程隱藏技術：Windows 98的後門 。第二代進程隱藏技術：進程插入，以及其後的Hook技術之外就是跟殺毒軟件對著幹：反殺毒軟件外殼技術了。木馬再狡猾，可是一旦被殺毒軟件定義了特徵 碼，在運行前就被攔截了。要躲過殺毒軟件的追殺，很多木馬就被加了殼，相當於給木馬穿了件衣服，這樣殺毒軟件就認不出來了，但有部分殺毒軟件會嘗試對常用 殼進行脫殼，然後再查殺（小樣，別以為穿 上件馬夾我就不認識你了）。除了被動的隱藏外，最近還發現了能夠主動和殺毒軟件對著幹的殼，木馬在加了這種殼之後，一旦運行，則外殼先得到程式控制權，由 其通過各種手段對系統中安裝的殺毒軟件進行破壞，最後在確認安全（殺毒軟件的保護已被瓦解）後由殼釋放包裹在自己「體內」的木馬體並執行之。對付這種木馬 的方法是使用具有脫殼能力的殺毒軟件對系統進行保護。殼能夠將檔（比如EXE）包住，然後在檔被運行時，首先由殼獲得控制權，然後釋放並運行包裹著的 文件體。很多殼能對自己包住的檔體進行加密，這樣就可以防止殺毒軟件的查殺。比如原先殺毒軟件定義的該木馬的特徵是「12345」，如果發現某檔中含 有這個特徵，就認為該檔是木馬，而帶有加密功能的殼則會對檔體進行加密（如：原先的特徵是「12345」，加密後變成了「54321」，這樣殺毒軟件 當然不能靠檔特徵進行檢查了）。脫殼指的就是將檔外邊的殼去除，恢覆文件沒有加殼前的狀態。
雖然很多殺毒軟件的文件監控都會使程式首次運行時速度 很慢。這是因為：殺毒軟件對壓縮加殼的exe文件監控掃瞄時，都要先「脫殼」。一般壓縮加殼程式，可加密壓縮可執行檔的代碼、數據、輸入表、重定位表、資 源段。通常壓縮後的檔大小隻有原來的50%-70%，但不影響程式的正常使用和所有功能，目的是保護檔不被跟蹤分析，反彙編，脫殼等。所以有時候使用某軟 件給木馬脫殼會失敗，但可換個軟件試下。脫殼後重新加殼或者使用不同加殼的軟件給木馬加多層 殼，均有可能欺騙殺毒軟件，但在經過複雜的多重加殼後，檢測出的結果就不一定準確了，此時就需要「adv.scan」高級掃瞄， pe-scan會分析出被各種加殼工具加殼的可能性。

五﹑加殼與病毒
病 毒要想生存，除了增加自身的變形能力以外，還可與程式加殼壓縮聯繫起來。我們先來看看病毒變形的目的，因為現在的反病毒軟件，基於特徵碼檢測，增加變形能 力，使得特徵碼檢測方法更加困難。那麼，如果再和程式加殼技術結合起來，那麼將使的單單通過添加特徵碼方法解毒徹底失效，解毒時，必須同時更新掃瞄引 擎，而現在並沒有通用的解殼方法。因此加殼壓縮和變形結合起來，將使得反病毒廠商手忙腳亂，也使得反病毒軟件用戶痛苦不堪，頻繁的更新，除了特徵碼，還有 掃瞄引擎。給平常的病毒加個殼，比如用upx，現在通常反病毒軟件，對於常用的加密加殼壓縮程式，都有相應的解殼程式。效果並不好，所以如果病毒本是既是 一好的變形加密加殼壓縮程式，那麼，目的是強迫更新掃瞄引擎，當然也是可以被動態解壓檢測出來的，只是增加瞭解毒的很多工作量。實際上加殼技術不僅僅用於 軟件保護，也可用於好的病毒。好的病毒不一定要非常快的傳播速度，難於檢測，難於查殺更重要一些，就像現在殺毒界的虛擬機技術，也不過是個雛形，有很多的 功能並不能完全虛擬化，同時若加殼代碼本身可變形，同時有多種加殼演算法可供隨機選擇，那麼就很難找出其中的規律以及關係。總之，好的殺毒軟件至少應該具 有 的技術功能之一就是要具備壓縮還原技術：對Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等幾百種壓縮加殼軟件自動還 原，徹底解除隱藏較深的病毒，避免病毒死灰復燃。

參考引用連結：

安全基礎病毒加殼技術與脫殼殺毒方法

轉自網路攻防戰