怎么区分加壳的是安全还是不安全？

chaorenzhizu

菜鸟提问撒，如题。。。。。总是装破解软件和游戏，昨天装了安全部队，今天更新了一查杀，汗，N多的加壳!现在单奔安全部队，如果不能区分，请问就俺这种情况，该配个什么辅助软件呢？

流年春去

破解的软件和注册机之类的，一般的杀软都会报毒的。

chaorenzhizu

流年春去 发表于 2012-6-8 14:47
破解的软件和注册机之类的，一般的杀软都会报毒的。

哈，又是你，版主你的头像好萌啊

wangxy87

木马加壳的原理很简单，在黑客营中提供的多数木马中，很多都是经过处理的，而这些处理就是所谓的加壳。当一个EXE的程序生成好后，很轻松的就可以利用诸如资源工具和反汇编工具对它进行修改，但如果程序员给EXE程序加一个壳的话，那么至少这个加了壳的EXE程序就不是那么好修改了，如果想修改就必须先脱壳。听雨了解鹿采薇很清楚每一个木马的加壳手段，冰河用ASPack，而灰鸽子则是UPXShell进行加壳的。
跑题了，简单的说，你非要查这个加壳文件安全不安全，就要先知道他是用什么加壳的，脱壳，然后再查毒。既然你发这个帖子，说明你可能对这个不感兴趣，所以，杀吧。。没办法了。安全第一。
对了，再啰嗦下，脱壳主要有两种方法：硬脱壳和动态脱壳。
　　第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于其技术门槛较低，仍然被一些杀毒软件所使用。
　　第二种，是动态脱壳。由于加壳的程序运行时必须还原成原始形态，即加壳程序会在运行时自行脱掉“马甲”。目前，有一种脱壳方式是抓取(Dump)内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好。

留侯

楼主使用Dr.Web吧！含有FLY—CODE全能解包器，可以解开未知的打包器，然后再执行扫描，确定此文件是否含有病毒。

chaorenzhizu

wangxy87 发表于 2012-6-8 15:34
木马加壳的原理很简单，在黑客营中提供的多数木马中，很多都是经过处理的，而这些处理就是所谓的加壳。当一 ...

安全部队的隔离效果怎么样啊？我已经全盘扫描过了，是不是隔离加壳的就安全呢？是不是还需要加个不开的大蜘蛛？

chaorenzhizu

留侯 发表于 2012-6-8 16:00
楼主使用Dr.Web吧！含有FLY—CODE全能解包器，可以解开未知的打包器，然后再执行扫描，确定此文件是否含有病 ...

已安装安全部队，再要装大蜘蛛如何设置呢？俺知道兼容性很重要的！

留侯

已经安装卡巴斯基的话，那就足够了。
学会认识卡巴斯基的监控扫描日志即可。

chaorenzhizu

留侯 发表于 2012-6-8 23:34
已经安装卡巴斯基的话，那就足够了。
学会认识卡巴斯基的监控扫描日志即可。

我刚重装系统，所以一天全盘扫描一次，安全部队的隔离效果怎么样啊？是不是说被它隔离的病毒都无法发挥作用呢？比如那些加壳的？

留侯

反病毒软件的隔离效果当然是不错了，能遏制病毒的运行。

一天全盘扫描一次完全没有必要，安装反病毒软件之后，执行一次全盘扫描是必要的。

一个加壳文件是否是属于病毒，还需要结合卡巴斯基的监控和扫描日志来看，建议您去卡巴斯基区，学会如何查看卡巴斯基的日志。