4.2　木马自我保护与伪装手段

在木马清除软件越来越强的情况下，木马不但要具有更强的功能，还要具有自我保护与伪装的手段。目前，大部分杀毒软件是靠特征码来识别木马的，因此，可以通过伪装成其他文件类型或给木马程序加壳来更改木马的特征码，以躲过杀毒软件的查杀。

实战1：通过加壳工具给木马加壳

通过给木马多次加壳，可以将其保护起来，从而保证不会被杀毒软件轻易查杀。“北斗程序压缩（NsPack）”就是一款可以为木马进行多次加壳的工具。具体的操作步骤如下。

Step 01　运行“北斗程序压缩”工具，打开其主窗口，如下图所示。

Step 02　选择“配置选项”选项卡，在其中勾选相应参数前的复选框，如下图所示。

其中有几个比较重要的参数，具体含义如下。

（1）处理共享节：加壳时软件会智能地判断共享节的可用性并做出正确处理，使木马程序在压缩后能够正常使用，此项是必选的。

（2）最大程度压缩：压缩加壳生成后的程序体积达到最小。

（3）使用Windows DLL加载器：让Windows自动进行处理。

Step 03　选择“文件压缩”选项卡，单击“打开”按钮，即可打开“版本3.7”对话框，在其中选择一个可执行文件，如下图所示。

Step 04　单击“打开”按钮，返回到“文件压缩”选项卡，在空白窗格上显示要加壳文件的路径和名称，如下图所示。

Step 05　单击“压缩”按钮，即可开始文件的压缩，如下图所示。

Step 06　当需要一次性对大量的木马程序进行压缩加壳时，可以使用“北斗程序压缩”的“目录压缩”功能，选择“目录压缩”选项卡，进入“目录压缩”设置界面，如下图所示。

Step 07　单击“打开”按钮，即可打开“浏览文件夹”对话框，在其中选择需要压缩的文件夹，如下图所示。

Step 08　单击“确定”按钮，返回到“目录压缩”选项卡，即可看到添加的文件以及其子目录，勾选“包含子目录”复选框和“使用格式过滤器”复选框，如下图所示。

Step 09　单击“压缩”按钮，即可开始对选中的程序进行批量压缩加壳，如下图所示。

实战2：使用WinRAR伪装木马

利用WinRAR的压缩功能可以将正常的文件与木马捆绑在一起，并生成自解压文件，一旦用户运行该文件，同时也会激活木马文件，这是木马常用的伪装手段之一。具体的操作步骤如下。

Step 01　准备好要捆绑的文件，这里选择的是一个蜘蛛纸牌和木马文件（木马.exe），并存放在同一个文件夹下，如下图所示。

Step 02　选中蜘蛛纸牌和木马文件（木马.exe）所在的文件夹，右击，在弹出的快捷菜单中选择“添加到压缩文件”选项，如下图所示。

Step 03　打开“压缩文件名和参数”对话框。在“压缩文件名”文本框中输入要生成的压缩文件的名称，并勾选“创建自解压格式压缩文件”复选框，如下图所示。

Step 04　选择“高级”选项卡，在其中勾选“保存文件安全数据”“保存文件流数据”“后台压缩”“完成操作后关闭计算机电源”“如果其他WinRAR副本被激活则等待”复选框，如下图所示。

Step 05　单击“自解压选项”按钮，即可打开“高级自解压选项”对话框，在“解压路径”文本框中输入解压路径，并选中“在当前文件夹中创建”单选按钮，如下图所示。

Step 06　选择“模式”选项卡，在其中选中“全部隐藏”单选按钮，这样可以增加木马程序的隐蔽性，如下图所示。

Step 07　为了更好地迷惑用户，还可以在“文本和图标”选项卡下设置自解压文件窗口标题、自解压文件图标等，如下图所示。

Step 08　设置完毕后，单击“确定”按钮，返回“压缩文件名和参数”对话框。在“注释”选项卡中可以看到自己所设置的各项参数，如下图所示。

Step 09　单击“确定”按钮，即可生成一个名为“蜘蛛纸牌”自解压的压缩文件，如下图所示。这样用户一旦运行该文件，就会中木马。

实战3：图片也可能是木马程序

将木马程序伪装成图片是许多木马制造者常用来骗别人执行木马的方法，如将木马伪装成GIF、JPG文件等，这种方式可以使很多人中招。用户可以使用“图片木马生成器”工具将木马伪装成图片。具体的操作步骤如下。

Step 01　下载并运行“寻梦图片木马生成器V1.0”程序，打开“寻梦图片木马生成器V1.0”主窗口，如下图所示。

Step 02　在“网页木马地址”和“真实图片地址”文本框中分别输入网页木马和真实图片地址；在“选择图片格式”下拉列表中选择.jpg选项，如下图所示。

Step 03　单击“生成”按钮，随即弹出“图片木马生成完毕！”提示框，如下图所示。单击“确定”按钮，关闭该提示框。这样只要打开该图片，就可以自动把该地址的木马下载到本地并运行。