文档介绍：该【2025年病毒加壳是什么意思（共6篇） 】是由【wawa】上传分享，文档一共【17】页，该文档可以免费在线阅读，需要了解更多关于【2025年病毒加壳是什么意思（共6篇） 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。2025年病毒加壳是什么意思（共6篇）
篇1：病毒加壳是什么意思
对于壳这东西我想大家应该都不会陌生的，植物用它来保护种子，动物用它来保护身体等等，同样，在一些计算机软件里也有一段专门，负责保护软件不被非法修改或反编译的壳。它们一般都是先于程序运行，拿到控制权，然后做保护软件的工作。动植物的壳一般都是在身体外面同样软件的壳也是如此，但后来也出现了所谓的“壳中带籽”的壳。
从“壳”又延伸出“加壳”和“脱壳”两个词汇，“加壳”指的是对编译好的EXE、DLL等文件采用加壳来进行保护；“脱壳”指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。
壳出于程序作者想对程序资源压缩、注册保护的目的，把壳分为压缩壳、密码壳、加密壳三种。顾名思义，压缩壳只是为了减小程序体积对资源进行压缩，常见的压缩壳包括FSG、ASPack、UPX、北斗等；加密壳也就是常说的保护壳、猛壳，它对程序输入表等内容进行加密保护，具有良好的保护效果，常见的加密壳包括ASPROTECT、ACPROTECT、PELock、幻影等；密码壳平时使用得不多，加密壳的程序只有在正确输入密码后才能运行。
案例
如今 使用病毒加壳，主要是对使用的木马等恶意程序进行保护，从而避免它们被杀毒软件所查杀，
比如大名鼎鼎的冰河木马，原版本被作者用UPX加壳，可是这种加壳方式已经被杀毒软件列入封杀名单。
所以人们现在要使用冰河的时候，首先需要将原来的UPX壳脱掉，接着通过修改特征码、修改程序入口地址、加花指令等不同的方法进行免杀操作，然后再加壳进行保护，这样一个免杀的冰河木马就诞生了。当然有的人可能不会去进行麻烦的免杀操作，所以只要对脱壳的服务端程序进行多层加壳即可，不过一般都是先加加密壳，再加压缩壳，顺序不能颠倒。
简单防御方法
有人说过：壳之初，性本善。本来壳的诞生是为了帮助程序作者更好地保护自己编写的程序，但谁知道现在却成为了 的帮凶，为此我们更应该做好防范。
（一）通过Windows注册表监视工具对注册表的变化进行及时的监控，比如Regmon等，可以很好的实时监视并显示对整个系统注册表的访问，让用户了解某些恶意程序在系统运行后的状况。
（二）建立良好的安全习惯，不要打开一些来历不明的邮件及网页链接，不要到不确定的网页地址浏览及下载文件等。如果有可能的话，最好是在使用以前对文件的MD5值进行对比，防止 恶意对文件进行捆绑。
篇2：手脱加双层壳的病毒(PECompact +未知壳)
目标程序：病毒样本“Trojan/”程序
操作环境：Windows XP-SP2
使用工具：Ollydbg
---------------------------------------------------------------------------------------------
前言：
简单介绍下病毒样本“Trojan/”程序所加的壳吧，样本外层加了一个“PECompact ”壳，内层加了一个混淆入口点的壳，但不知道是什么名字，不过这个壳貌似很常见，今天拿这个壳做例子希望对初级接触脱壳的朋友有帮助，也希望你们会喜欢。
分析：
脱壳前，使用PEID ，显示壳名为：“PECompact ->Jeremy Collake”。看了下这个程序有2个节段。EP区段名分别为：“.CODE/.rsrc”，显示连接程序版本为： 。
注意：
如果大家分析的是应用软件加的壳，跑飞几次没什么关系。但如果分析的是病毒，那么就要千万小心了，因为有些未知病毒可能破坏力非常大的(比如PE感染型病毒)。不过最好还是养成仔细分析、细心调试的好习惯比较好(我喜欢真实环境，不太喜欢虚拟机，因为感觉不方便)。今天同样很幸运，依然只跟了一次，壳直接就脱掉了，哈哈!(^_^).
---------------------------------------------------------------------------------------------
手脱记录：
(OD设置为“忽略非法访问内存异常”。[F2]：下软断点、[F4]：执行到当前代码处、[F7]：单步步入、[F8]单步步过、[F9]运行。)
---------------------------------------------------------------------------------------------
第一步骤：脱最外层的PECompact
00401000 > B8 C41D4100    MOV EAX,               ;OD载入后停在这里，[F8]单步向下走。
00401005   50             PUSH EAX
00401006   64:FF35 0000000>PUSH DWORD PTR FS:[0]
0040100D   64:8925 0000000>MOV DWORD PTR FS:[0],ESP                ;单步到这里后，看“积存器”窗口中的ESP值，我们利用ESP守恒定律下硬件断点“HR ESP”。
;在命令行中输入“hr 0012FFBC”，回车。然后[F9]运行。
00401014   33C0           XOR EAX,EAX
00401016   8908           MOV DWORD PTR DS:[EAX],ECX
00401018   50             PUSH EAX
00401019   45             INC EBP
0040101A   43             INC EBX
0040101B   6F             OUTS DX,DWORD PTR ES:[EDI]              ; I/O 命令
0040101C   6D             INS DWORD PTR ES:[EDI],DX               ; I/O 命令
0040101D   70 61          JO SHORT
.
.
.
00411DF3   83C4 04        ADD ESP,4                               ;运行后，停在这里（硬件断点）。[F8]单步向下走。
00411DF6   55             PUSH EBP
00411DF7   53             PUSH EBX
00411DF8   51             PUSH ECX
00411DF9   57             PUSH EDI
00411DFA   56             PUSH ESI
00411DFB   52             PUSH EDX
00411DFC   8D98 5710  LEA EBX,DWORD PTR DS:[EAX+10001257]
.
.
.
00411E5F   894E 14        MOV DWORD PTR DS:[ESI+14],ECX
00411E62   FFD7           CALL EDI                                ;这里要做解压操作，会执行一段时间。
00411E64   8985 3F130010  MOV DWORD PTR SS:[EBP+1000133F],EAX
00411E6A   8BF0           MOV ESI,EAX
00411E6C   8B4B 14        MOV ECX,DWORD PTR DS:[EBX+14]
00411E6F   5A             POP EDX
00411E70   EB 0C          JMP SHORT              ;到这里[F8]向下跳，
00411E72   03CA           ADD ECX,EDX
.
.
.
00411E7E   8BC6           MOV EAX,ESI                             ;跳到这里，[F8]单步向下走。
00411E80   5A             POP EDX
00411E81   5E             POP ESI
00411E82   5F             POP EDI
00411E83   59             POP ECX
00411E84   5B             POP EBX
00411E85   5D             POP EBP
00411E86   FFE0           JMP EAX                                 ;到这里[F8]后会大跳。
00411E88   2C 00          SUB AL,0
00411E8A   41             INC ECX
00411E8B   00AC1E 4100B41E ADD BYTE PTR DS:[ESI+EBX+1EB40041],CH
.
.
.
0041002C     60           DB 60                                   ; CHAR '`' （大跳后来到这里，这里就是内部的壳入口点了。）
0041002D     8B           DB 8B
0041002E     D0           DB D0
0041002F     52           DB 52                                   ; CHAR 'R'
00410030     1B           DB 1B
00410031     D8           DB D8
00410032     50           DB 50                                   ; CHAR 'P'
00410033     50           DB 50                                   ; CHAR 'P'
00410034     33           DB 33                                   ; CHAR '3'
总结：
我们到了这里，因为这里是数据段，所以后边的汇编代码无法解析，全部都是乱码。
本来是可以用[CTRL+A]来使OD进行一次代码重新扫描解析的，但由于后边使用了混淆入口点的壳，OD无法识别了。
我们又不可能就这样跟下去，那太不明智了。我是在这里把脱掉外层壳的样本DUMP了出来，然后再用OD重新载入脱掉外层壳后的样本继续脱。
我们DUMP出来的样本程序使用PEID查壳，显示为“Nothing found *”。
―――――――――――――――――――――――――――――――――――――――――――――
[1] '>[2] '>下一页
篇3：关于病毒的意思和精选造句
编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性，复制性和传染性。
病毒造句欣赏
1、这种病毒已经在他的身体里潜伏了许多年。
2、冬季是流感高峰期，再加上甲流病毒的骚扰，弄得人心惶惶，七上八下的。
3、从抗病毒程序保护的系统中清除危害更是雪上加霜。
4、滤过性病毒是引起这波流行感冒的罪魁祸首。
5、总而言之，病毒变异的研究是很重要的。
6、这种病毒的传播速度很快。
7、肝炎病毒有一周的潜伏期。
8、这些病毒被称为冠状病毒，它们是导致非典的罪魁祸首。
9、那么说这种病毒倒真够厉害的。
10、由病毒、病菌等微生物造成的传染性疾病，人们对无处不在的病菌和病毒虽然防不胜防，但可以通过用樊字疗法让血管保持畅通、让血液循环保持畅通、让身体更加强壮，身体强壮了，免疫功能自然就会增强。
篇4：关于病毒的意思和精选造句
，内存挺大，大到奔腾II代，可是运行不快，可能是感染病毒，看来主教练扎切罗尼需要一张杀毒的硬盘!
，每日清晨洗鼻腔;减少病毒来侵入，保证呼吸更顺畅;咽喉疼痛莫发慌，吃食杏仁解症状;空气清新常开窗，祝你春季更健康!
，戒你太难。当爱恋的病毒悄然而至，当你把从我心中下载的初吻放进回收站，我决定把爱情低格，让回忆格式化。你知道我的心在哭泣吗?
“元宵节快乐”的手机病毒，如果您不幸收到含有此类字符的短信，请马上扔掉手机，以免感染。
，请把霉运病毒杀掉，把孤单插件清理，把寂寞痕迹消除，把颓废漏洞修复，把快乐全歼升级，把喜悦程序重启。祝你光棍节快乐!