什么是木馬的加殼與脫殼

給程序加殼，包括加密殼和壓縮殼兩種方法。程序一旦被加殼保護后，如果不使用與此相應的脫殼軟件進行脫殼處理，那么一些反匯編程序是不能正確讀取其真正的代碼的。這樣，就能保護程序不會被破解。同樣，一旦木馬程序經過加殼保護，如果反病毒軟件不具有該程序的脫殼功能，那么就不可能識別出它，因此可以說木馬加殼達到了隱藏自身的目的。

脫殼是與加殼相反的過程，目的是把加殼后的程序恢復成毫無包裝的可執行代碼，這樣未授權者便可對其進行修改。脫殼的過程與加殼的操作類似，但是對于不同的加殼軟件，需要使用不同的脫殼軟件。入侵者只要知道目標程序使用的是哪種加殼軟件進行加殼的，然后，再使用對應的脫殼軟件進行脫殼處理即可。簡單地說加殼與脫殼就相當于加密和解密。

目前，通過Aspack或UPX給木馬加殼是非常容易的。但是，這些常見的加殼軟件的加殼方式已經被殺毒軟件研究透徹，加上一些殺毒軟件已經具有對常見木馬的脫殼功能。因此，一些攻擊者通常會使用一些不常用的加殼軟件來對木馬程序進行加殼處理。這些不常用的加殼軟件，一般都會在一些國外的安全類網站中找到。

程序加殼只是對木馬的程序文件進行了保護而已，且有時加殼會損壞木馬的一些功能，而且，單獨使用加殼保護木馬是達不到理想的保護效果的。因此，攻擊者在對木馬加殼保護之前，還會對它使用如程序加密之類的處理工作。

由于對木馬進行加殼保護只對木馬文件有效，因此對于已經加載到內存中的木馬程序段，木馬在運行時已經自動進行脫殼處理，也就失去了保護作用，這樣就可以使用對內存進行監測的方式來查殺木馬。目前，已經有許多殺毒軟件具有內存查殺的功能。但是，一些木馬的程序在加載到內存之前，會先被它的殼所控制，而這些殼會通過一些手段來終止用戶系統中所運行的安全軟件的進程，然后再完全將木馬程序加載到內存中運行，這樣就能躲避被內存查殺的危險。此時，就只能靠用戶自己使用一些脫殼軟件來對系統中可疑的文件進行查殼和脫殼處理后再查殺。

回答所涉及的環境：聯想天逸510S、Windows 10。