这几天从网上下了不少加壳工具，想到在2003年的时候看过《黑客防线》上有一篇文章写几款国产杀毒软件比较的文章，统一由一种加壳工具加壳，最后得出结论是江民的杀毒能力最强。今天我就拿十二款加壳工具来挑战一下江民，目的是对国内杀毒软件有个大致的比较，这对我们的后门、木马隐蔽性的提高可大大的有好处！
我选择的木马是黑社会2.0生成的服务端，先对其进行侦壳后发现没加壳，侦壳工具我用的是地fi3.01和PEID0.91，并对其进行查毒（如图1所示），KV报发现病毒，如图2所示。另外二款测试木马是图形界面ASP加密软件“维维ASP编码解码器”和DOS界面的ASP加密工具Screnc.exe。

  我们先拿十二款加壳软件对黑社会的服务端进行加壳，一起来看看这些软件在强大的江民面前威力如何！
   最先请出TELOCK0.98对其进行加壳，原来为160KB加壳压缩后为90KB，压缩率为55%把。压缩后的文件命名为hsht.exe，等一下一起查毒时好区。

    选用的加壳工具为petite2.2，我将压缩比调到9，加壳后为76.8KB，压缩率为48%，压缩后的文件命名为hshpp.exe。

     选用的软件为wwwpack1.12（此软件需要注册），压缩后为73.5KB，文件名重命名为hshw.exe（忘了截图就被我卸掉了）。
   
    选用nolite2.0，压缩比为37%，加壳后文件大小为100KB，文件命名为hshw.exe。

     选用Asprotect 1.23汉化版，加壳后为130KB，压缩比率为81.6%，文件名重命名为hsha.exe。

     选用幻影2.23破解版国产的一个加密软件，加密后没提示软件字节数多大，查看了一下有333KB之大，文件名重命名为hshh.exe。

     选用PElock demo 1.06，加壳后为94K，压缩比42%，文件名重命为hshpe.exe。

     选用Xtreme-protector 1.05这个软件需要注册，用起来很不方便，加壳后的文件大小竟然1.05MB太夸张了（不知道是不是我操作有问题英文版的），文件重命为hshx.exe。

     选用Obsidium1.1，加壳后为156KB，文件重命名为hsho.exe。

     选用Krypton 0.5，加壳后224KB，文件重命名为hshk.exe。

     选用老牌加壳软件ASPpck 2.12汉化版，加壳后78.5KB，文件重命名为hshaspack.exe。
     选用老牌加壳软件upx1.9汉化版，加壳后75KB，文件重命为hshupx.exe。

     现在请出江民查毒（我用的是正版的江民kv2004，病毒库也是最新的），好家伙，12个经改造的服务端被查出6个。分别是由Telock加壳的Hsht.exe；Petite2.2加壳的Hshpp.exe；Wwwpack32 1.12加壳的Hshw.exe；Neolite2.0加壳的Hshn.exe；ASPack2.12加壳的Hshaspack.exe；UPX1.9加壳的Hhshupx.exe。

     测试到这本就结束，但我突然想看看瑞星和诺盾到底比江民差到那，于是将所有文件打包发送给好友羽艺让他帮我用瑞星和诺盾查毒，结果诺盾一个都查不出，由于没查出也就没截图，倒是瑞星查到两个：Nolite2.0加的Hshn.exe和Wwwpack32加的Hshw.exe。

     现在要介绍对于ASP木马的加密，选用的木马是海阳顶瑞ASP木马2004，加密前是会被查杀的我就不截图了。现在请出维维ASP编码解码器对其进行加密，这款加密工具是图形界面，而且又可直接解码很好用，这是维维软件加密的截图。

     TIPS：它的用法：Screnc.exe 目标文件.asp 新生成文件.asp

     加密后的文件经江民查毒还是被发现有病毒，如图17所示。其中Chx..asp是我用Screnc.exe这款DOS下的加密工具加密的，2004.asp则是用维维加密的，结果还是逃不过江民的追杀！试过诺盾还是查不出，晕（洋玩意强不过国货，支持国产软件吧，各位弟兄）！

     OK，所有测试完毕，由此可以看出国产江民杀毒软件的脱壳能力确是非同凡响！对于那些加壳后仍无法被查杀的怎么办呢？我想只要你装了天网防火墙后，凡是访问网络的应用程序，天网对会对其进行审核，并让用户确定（我想你不会连自己装了什么软件都不知道吧？），你就可以轻易抓住它。

[课程]Linux pwn 探索篇！