4.3　木马的自我保护

在杀毒软件越来越强的情况下，木马不但要具有更强的功能，还要具有自我保护的功能。目前，大部分杀毒软件是靠特征码来识别木马的，因此，可以通过使用加壳工具来更改木马的特征码，以躲过杀毒软件的查杀。

4.3.1　给木马加壳

通过给木马加壳，可以将木马保护起来，不过一些特别强的杀毒软件仍然可以查杀出这些木马，因此，只有进行多次加壳才能保证不被杀毒软件查杀。《北斗程序压缩（NsPack）》就是一款可以为木马进行多次加壳的工具，其具体的操作步骤如下。

Step 01　用常见的加壳工具ASPack给某个木马服务端进行加壳，然后运行《北斗程序压缩》软件，打开其主窗口。

Step 02　选择“配置选项”选项卡，在其中勾选相应参数前的复选框。

其中有几个比较重要的参数，具体含义如下。

①处理共享节：加壳时软件会智能地判断共享节的可用性并做出正确处理，使木马程序在压缩后能够正常使用，此项是必选的。

②使用Windows DLL加载器：让Windows自动进行处理。

③最大程度压缩：压缩加壳生成后的程序，使其容量达到最小。

Step 03　选择“文件压缩”选项卡，单击“打开”按钮，即可打开“版本3.7”对话框，在其中选择一个可执行文件。

Step 04　单击“打开”按钮，返回到“文件压缩”选项卡，在空白窗格上面会显示出要加壳文件的路径和名称。

Step 05　单击“压缩”按钮，即可开始文件的压缩。经过北斗程序压缩加壳的木马程序，可以使用ASPack等加壳工具进行再次加壳，这样就有了两层壳的保护。

Step 06　当需要一次性对大量的木马程序进行压缩加壳时，可以使用“北斗程序压缩”的“目录压缩”功能，选择“目录压缩”选项卡，进入“目录压缩”设置界面。

Step 07　单击“打开”按钮，即可打开“浏览文件夹”对话框，在其中选择需要压缩的文件夹。

Step 08　单击“确定”按钮，返回到“目录压缩”选项卡下，即可看到添加的文件及其子目录，分别勾选“包含子目录”复选框和“使用格式过滤器”复选框。

Step 09　单击“压缩”按钮，即可开始对选中的程序进行批量压缩加壳。

4.3.2　给木马加花指令

花指令是一段没有具体意义、不影响程序正常运行的代码，其主要作用是加大杀毒软件查杀病毒的难度。利用《超级加花器》工具可以为木马程序加花指令，该工具是一款典型的加花指令工具，支持附加数据自动检测，对于某些存在附加数据的EXE、DLL等程序加花后仍可执行。

使用《超级加花器》为木马程序加花指令的具体操作步骤如下。

Step 01　运行《超级加花器》工具，即可打开其主窗口。可以将要加花指令的程序直接拖动到“文件名”文本框中并释放鼠标；再在“花指令”下拉列表中选择相应的花指令。

Step 02　单击“加花”按钮，就可以为选择的主程序进行加花了，待完成后即可看到“添加成功”提示框。单击“确定”按钮，即可完成加花操作。

Step 03　在《超级加花器》中可以自己添加和保存自定义的花指令。在“超级加花器”主窗口中“添加花指令”栏目中输入花指令名称和内容后，单击“确定”按钮，即可成功添加该花指令。

4.3.3　修改木马的入口点

由于一般的杀毒软件都会检测病毒还原后的代码，而且一般都把代码段开始的前10字节作为特征值，因此，在修改入口点的同时，也破坏了特征码，这样也就达到免杀的效果。利用PEditor可以将木马的入口地址加1来修改入口点，进而起到自我保护的功能。

使用PEditor修改入口点的具体操作步骤如下。

Step 01　运行PEditor程序，打开其主窗口。

Step 02　单击“浏览”按钮，打开“选择你要查看的文件”对话框，在其中选择要进行免杀的程序。

Step 03　单击“打开”按钮，返回到PEditor程序主窗口，在其中可以看到相关文件的信息。

Step 04　把“入口点”文本框中原数值加1后，单击“应用更改”按钮，即可打开“××此文件更新成功”的提示框。单击“确定”按钮，即可完成修改入口点的防特征码免杀设置。