AngelShell木马使用方法(1)

　　安装了最新版的杀毒软件对系统进行保护，时常查看进程，自认安全防护措施万无一失，放心大胆地接收、运行别人发来的文件。然而，一段时间之后，机器中的文件被修改了。

　　为什么防火墙、杀毒软件没有提示？为什么查看系统进程却找不到任何可疑的迹象？为什么采取了这么多安全防护措施还是会“失守”？伪装，你忽略了伪装……

　　相信大家已通过前几期的“木马屠城”栏目，学会了木马的制作、应用和传播方面的技巧。正所谓“师傅领进门，修行在个人”，今天大家就可依靠自己的力量，综合“木马屠城”曾介绍过的知识，使用目前最流行的木马辅助工具，DIY一个安全性十足的后门程序，让这个后门程序同时具备进程伪装、后台下载安装、安全通过杀毒软件等本领。

　　说干就干，找齐下表中所列出的工具后就可马上开“攻”了。我们今天的目标就是要把一款优秀的AngelShell木马（Angel.exe）修改成具有自动后台下载、安装并且能免被杀毒软件查杀等特点的后门程序，同时还将它完美地种植到合法程序中去，让攻击目标防不胜防。

　　下载地址：http://www.sixvee.com/520yy/cpcw/cytkk-5.rar

　　第一步：多重加壳求自保

　　如果木马程序被杀毒软件查了出来，那我们的入侵就前功尽弃了，所以说给木马加上一层“壳”（保护层）是目前应先做的事。对于广大攻击者而言，成功躲避杀毒软件的追杀就可使自己的木马顺利地在别人的机器中安家，而要做到这一点会用到的技术就是多重加壳（伪装壳+压缩壳）。

　　我们要用到的软件就是采用多重加壳技术的EncryptPE，运行主程序EncryptPE.exe（图1），在“加密文件”框内选择要加壳的木马文件“Angel.exe”，也可从资源管理器中将要加密的文件（EXE、DLL等）直接拖到 EncryptPE主界面中来。需要注意的是，在左侧要选择“压缩自定义资源”和“文件中植入壳所需的DLL”。最后，直接点击“加密”按钮即可完成木马程序的伪装（加壳后的文件和原文件同名）。如此一来，再高明的杀毒软件也会对经过我们手工加密后的木马不闻不问。图1

　　提示：如果是NT服务程序，可选中“特征整数”右侧的Service项。

　　相对于简单的加壳程序而言，EncryptPE具备操作更简便的优势，而且可以避免新手在进行多重加壳时走入误区，即“先加压缩壳，再加伪装壳”（压缩壳在内，伪装壳在外，这种加壳方法是不安全的，极易被检测或反编译出来）。