如何能巧妙从进程中判断出病毒和木马

如何能巧妙从进程中判断出病毒和木马

作者：db19851217　来源：赛迪网技术社区

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文。

病毒进程隐藏三法

当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：

1.以假乱真

系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱

如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下（Windows 2000则是C:\WINNT\system32目录），如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？

3.借尸还魂

除了上文中的两种方法外，病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。

系统进程解惑

上文中提到了很多系统进程，这些系统进程到底有何作用，其运行原理又是什么？下面我们将对这些系统进程进行逐一讲解，相信在熟知这些系统进程后，就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

Svchost.exe

常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务，双击其中“ClipBook”服务，在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击Alerter”服务，可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”，而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用，可以省下不少系统资源，因此系统中出现多个svchost.exe，其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe；而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:\WINDOWS\system32”目录外，那么就可以判定是病毒了。

Explorer.exe

常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”→“文件”→“新建任务”，输入“Explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。

Explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:\Windows”目录，除此之外则为病毒。

Iexplore.exe

常被病毒冒充的进程名有：iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。

iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。

Rundll32.exe

常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”，在别的目录则可以判定是病毒。

Spoolsv.exe

常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。

限于篇幅，关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：1.仔细检查进程的文件名；2.检查其路径。通过这两点，一般的病毒进程肯定会露出马脚。

找个管理进程的好帮手

系统内置的“任务管理器”功能太弱，肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具，例如Procexp。Procexp可以区分系统进程和一般进程，并且以不同的颜色进行区分，让假冒系统进程的病毒进程无处可藏。

运行Procexp后，进程会被分为两大块，“System Idle Process”下属的进程属于系统进程，

Explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒冒充的。

小心不良习惯将会威胁到你的网络安全

作者：杜莉　来源：赛迪网

安全专家认为是人们的不良习惯导致了像Netsky和Mytob这样的老病毒重新又盛行起来。

攻击者们渐渐放弃使用传统的通过电子邮件发送恶意软件的方法，因为这种方法很容易被病毒扫描程序发现。他们开始转而使用含有链接的电子邮件来将接收者引导到被感染的网页上。

人们点击这些不请自来的邮件中的链接实际上就是在冒将自己的计算机变成“僵尸”的风险——僵尸的本质是可以远程控制的垃圾邮件散发器，用户根本不会察觉到自己的计算机已经发送了垃圾邮件。

Sophos的Carole Theriault担心道，“很多新出现的威胁目标更明确，接近受害者的方式也更迂回，如果Netskys和Mytobs这样的老病毒都这样反复肆虐，我们怎么能指望普通用户能够抵御这些新的危机呢？”

“为了他们自己和连接到网络上的所有人着想，用户们应当打起精神努力保证自己的计算机的安全。”

Sophos还发现.uk域名的站点所含有的恶意软件占了所有基于网络的恶意软件的5%，这个数字是从去年12月1%增长到如今这个值的。

Theriault说“这种显著的增长向人们发出预警，那些英国的网站应当保证及时打补丁，以便及时消除可能潜伏在他们站点的漏洞或者危机。”

缺乏防范心　中国网络深受黑客“垂青”

作者：db19851217　来源：赛迪网技术社区

电脑和网络逐渐成为中国人的生活工具，而日益猖獗的黑客恶意攻击却使人们的网络安全遭受巨大威胁。除了防范意识的薄弱，我们还欠缺什么全球平均每天有6.4万台电脑受“蝇蛆网络”影响，而其中有26%的电脑在中国，这一比例高于其他国家。这从一个侧面表明互联网在我国各个领域得到了空前的应用，也反映了我国网民对黑客给网络。

安全带来的威胁性还缺乏足够的认识

据新华社报道，美国网络安全企业赛门铁克公司日前发布的报告指出，美国是全球网络黑客的大本营，其每年产生的恶意电脑攻击行为远高于其他国家，占全球网络黑客攻击行为总数的约31％。该报告还指出，在受网络黑客攻击的国家中，中国是最大的受害国。去年下半年，全球平均每天有6．4万台电脑受“蝇蛆网络”影响，而其中有26％的电脑在中国。

缺乏防范心理是主因

为何中国会成为受网络黑客攻击的最大的受害国？一个至关重要的原因是，对于网络黑客攻击，中国网民对网络黑客攻击的危害性缺乏足够的认识，大多缺乏应有的防范心理。据有关调查显示，我国有56％以上的网民不了解什么是网络黑客攻击，或不明白网络黑客攻击究竟会带来怎么样的后果。网民放松警惕导致黑客的攻击容易得手，大量初级黑客甚至以攻击中国互联网为乐，而中国很多网民通常不知道自己的电脑已被控制。

在很多人的眼里，黑客往往只是为了显示自己的技术，专门破解一些政府部门或企业的网站。但是，如今黑客已经越来越肆意妄为，并带有明显的牟利目的。赛门铁克公司的报告显示，黑客们通常采用“特洛伊木马(木马查杀软件下载)”的手段侵入他人电脑，在电脑用户不知情的情况下盗用别人的信息，从中获取经济利益。

其实，经济利益是诱使网络黑客实施攻击行为的根本原因。比如在美国日益猖獗的“网络钓鱼”，采用这一方法的黑客常引诱用户进入一个看似合法的网站，然后盗取用户的金融密码或其他秘密信息。据报道，在美国，你只要用1美元就可以买到黑客盗来的信用卡号，而全套个人信息也只需14美元……

从事网络安全工作的一位专家告诉记者，曾经有一家大型国有企业被黑客入侵到公司内部网络的数据库，公司的商业机密被窃取，然后在网上出卖给国际商业竞争对手和国际股市“黑庄”，结果使该公司蒙受了巨大损失。

“熊猫烧香”案是我国破获的首例制作计算机病毒的大案，“熊猫烧香”制作者利用该病毒盗取电脑用户的游戏账号、QQ账号等。同时，熊猫烧香病毒制作者李俊还以自己出售和由他人代卖的方式，将该病毒销售给120余人，获利10万余元。经病毒购买者进一步传播，导致该病毒的各种变种在网上大面积传播，《瑞星2006安全报告》将其列为十大病毒之首，堪称“毒王”。

不采取任何暴力行为的强盗

瞄准金钱的黑客越来越多，这已经引起了众多国家的重视。韩国《东亚日报》日前报道指出，黑客简直就是“不采取任何暴力行为的强盗”。

前不久，韩国花旗银行网上信用卡结算代办系统遭到攻击，造成20名顾客账户的5000余万韩元被擅自结算。几乎同时，在韩国国民银行和农协的网络银行，5000名顾客的注册认证书也被黑客盗取。黑客诱骗顾客登录伪装的网站。30多名顾客被假网站所骗，将保安卡账号和密码拱手交给黑客。微软韩国的首席软件设计师赵元荣音　称：“最近像俄罗斯黑手党一样，一些非法组织雇佣黑客，将金融公司作为目标进行攻击的案件增多。

瑞典最近也发生了损失惨重的“银行抢劫”事件，瑞典诺迪亚银行250名顾客的800万瑞典克朗被“抢”。但是“抢劫犯”不仅没带枪械等凶器，甚至没有进入银行。原来是黑客盗取用户账号信息后，通过网络银行转账将钱“抢”走。

前不久，国际金融诈骗团伙利用一种叫作“pharming”的新型黑客攻击手段攻击了英国巴克莱银行、美国捷运信用卡、世界最大网络拍卖企业eBay的用户计算机，大量盗取个人账户信息。

事实上，也正是接二连三的网络黑客攻击行为使不少国家对黑客给予了极大的关注，并采取了必要的措施，从而在一定程度上避免了损失。

有研究人员指出，为了获得金钱利益，黑客组织会发展成更具有纪律性和尖端性的组织。据预计，以后通过电子邮件或MSN等手段盗取个人信息的黑客攻击行为会继续出现。所以，中国的网民一定要多留心，以免上当受骗。

木马一部分隐藏技术披露

我经朋友介绍到了这个论坛，很少见到讨论气氛如此好的论坛，这里提到了好多的新知识，以前以为我这里收藏的这篇帖子就比较全的一些木马技术了，真的没有想到，竟然可以藏连接状态，太不可思议了，希望有哪位高人指点些，木马技术前卫些的技术，小弟甚是感激

　　以前，我曾认为只要不随便运行网友发来的文件就不会中病毒或木马，但后来出现了利用漏洞传播的冲击波、震荡波;以前，我曾认为不上小网站就不会中网页木马，但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。从此，我知道:安全，从来没有绝对的。

　　虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时 发现，使损失最小化。那么，木马究竟是如何躲在我们的系统中的呢？

　　最基本的隐藏:不可见窗体＋隐藏文件

　　木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种:

　　1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

　　2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

　　其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马，于是便出现了下面要介绍的“进程隐藏”技术。

　　第一代进程隐藏技术:Windows 98的后门

　　在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

　　要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形！中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术，就没有这么简单对付了。

　　第二代进程隐藏技术:进程插入

　　在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。

你知道吗——进程(Process)是什么

　　对应用程序来说，进程就像一个大容器。在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。

　　一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程

　　1.进程插入是什么

　　独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说，系统更容易捕获随意的内存读取和写入操作。对于用户来说，操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。当然，操作系统的这个健壮特性是要付出代价的，因为要编写能够与其他进程进行通信，或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如下文要介绍的盗QQ密码。

　　2.木马是如何盗走QQ密码的

　　普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！

　　3.如何插入进程

　　(1)使用注册表插入DLL

　　早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。

　　(2)使用挂钩(Hook)插入DLL

　　比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。

你知道吗——什么是API

　　Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求，然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序。

(3)使用远程线程函数(CreateRemoteThread)插入DLL

　　在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。

　　木马将自身作为DLL插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的DLL模块就会现形了。

　　不要相信自己的眼睛:恐怖的进程“蒸发”

　　严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！

　　它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

　　而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

　　所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。

　　你知道吗——什么是Hook

　　Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

　　毫无踪迹:全方位立体隐藏

　　利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

　　跟杀毒软件对着干:反杀毒软件外壳

　　木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

　　你知道吗——什么是壳

　　顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。