如发现有乱码， 请直接从这里浏览原文
正文摘录:

畦越隧盛魏燃术，即对加壳文件进行简单运行，等到目标文件的壳运行结束，把控制权交给程序之后，它才检测。说白了就是让程序自己勰密。然后再检测。同样的道理，我们也可以借鉴这个技术。好了，看我怎么做，大家跟着做，即使你没有任何crack的经验，也可以轻松学会。首先打开sDB，启动后，将目标文件拖入这个地方，直接输入文件路径也可以，然后按下回车.如图1今天的目标文件是我自己写的一个捆绑文件，还没见什么工具检测出来它被捆绑过东西，今天就拿它开刀了。打开Filemon和Regmon，分别如图2，图3这样设置，即Filemon只监控“打开文件”和。文件写入”，注册表只监控“写入”。可能有人要问：“文件监控只监视写入就可以了，为什么要把监控打开呢?”呵呵，其实学过win32编程的人都知道，windows可以搞个文件映射，然后操作，保存后.文件的修改时间不会变。换言之，在Filemon看来，这样根本不能算“写文件”!我们这样是为了防止比较高级的捆绑工具。当然一般情况下，我们为了方便起见，可以不选“打开”这个选项。这些工作都做完后.打开IceSword，。文件一)创建进程规则“，添加一条“禁止”，其它的默认就可以。这样做，是为了防止绑马文件分离释放木马并运行，当然，比较垃圾的绑马工具会释放正常文件和木马文件，我们的正常文件也不会启动。现在切回到sDB，按任意键，程序运行了(图4)，现在依次(强烈建议按这个顺序)关闭Regm0n，Filemon。记得保留它们的日志。如果你不放心这个程序，可以直接按t让它结束掉，按别的任意键就可以让sDB退出。我推荐大家按t结束掉它，这样，不给这个疑似绑马文件任何机会，防止它来个马后炮一一在即将关闭的时候，释放文件，因为我怀疑有的文件在停止运行前来个垂死挣扎。现在清除Icesword中我们创建的那条规则。好了，分析Reftmon和Filemon留下的日志，相信这个大家比我在行，我就不班门弄斧了，对了，不要像我一样，把正常文件和木马文件搞混了，那我们就白干了。终于可以得到干净的文件了。图4有些朋友会疑惑，为什么这么做?我来解释一下：先将文件拖人sDB按回车，这个目标程序就被创建了进程，但是它是挂起的，换言之，就是它一条指令都不执行。然后启动Regmorl和Filemon对它的所有操作进行监控，接着使用Icesword创建了防止运行木马文件的规则，此后的所有进程都将创建不成功。然后按下任意键，目标进程开始跑了起来(恢复被挂起的线程)，此时的所有动作都被我们的Regmon和Filemon监控。按T强制结束掉目标进程，不给它“收尸”的机会，这时目标进程已经完全退出，清除掉Icesword的规则，接着你就可以分析剩下来的文件了。这个方法对于目前市面上99％的绑马文件都有效，又有人问了：“那1％呢?”那1％就是对文件做了逆向工程的，木马文件的代码和无辜的文件的代码干脆融为一体，不释放任何文件，当然也就无法分离了。(本文所涉及到的IceSword、F_Iem伽、Regmon和Sdb已收录到光盘中)竭k麓黔鼬幂