隨著人們安全意識(shí)的提高，木馬的生存越來越成為問題，木馬種植者當(dāng)然不甘心木馬就這樣被人所發(fā)覺，于是他們想出許多辦法來偽裝隱藏自己的行為，利用WinRAR捆綁木馬就是其中的手段之一。那么我們?cè)趺床拍茏R(shí)別出其中藏有木馬呢？本文講述的正是這個(gè)問題。
    攻擊者可以把木馬和其他可執(zhí)行文件，比方說Flash動(dòng)畫放在同一個(gè)文件夾下，然后將這兩個(gè)文件添加到檔案文件中，并將文件制作為exe格式的自釋放文件，這樣，當(dāng)你雙擊這個(gè)自釋放文件時(shí)，就會(huì)在啟動(dòng)Flash動(dòng)畫等文件的同時(shí)悄悄地運(yùn)行木馬文件！這樣就達(dá)到了木馬種植者的目的，即運(yùn)行木馬服務(wù)端程序。而這一招效果又非常好，令對(duì)方很難察覺到，因?yàn)椴]有明顯的征兆存在，所以目前使用這種方法來運(yùn)行木馬非常普遍。為戳穿這種偽裝，了解其制作過程，做到知己知彼，下面我們來看一個(gè)實(shí)例。 
    下面我們以一個(gè)實(shí)例來了解這種捆綁木馬的方法。目標(biāo)是將一個(gè)Flash動(dòng)畫（1.swf）和木馬服務(wù)端文件（1.exe）捆綁在一起，做成自釋放文件，如果你運(yùn)行該文件，在顯示Flash動(dòng)畫的同時(shí)就會(huì)中木馬！具體方法是：把這兩個(gè)文件放在同一個(gè)目錄下，按住Ctrl鍵的同時(shí)用鼠標(biāo)選中1.swf和1.exe，然后點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單中選擇“添加到檔案文件”（圖1)，會(huì)出現(xiàn)一個(gè)標(biāo)題為“檔案文件名字和參數(shù)”的對(duì)話框，在該對(duì)話框的“檔案文件名”欄中輸入任意一個(gè)文件名，比方說暴笑三國.exe（只要容易吸引別人點(diǎn)擊就可以）。注意，文件擴(kuò)展名一定得是.exe（也就是將“創(chuàng)建自釋放格式檔案文件”勾選上），而默認(rèn)情況下為.rar，要改過來才行，否則無法進(jìn)行下一步的工作（圖2) 
(圖1)
(圖2)
    接下來點(diǎn)擊“高級(jí)”選項(xiàng)卡，然后單擊“SFX選項(xiàng)”按鈕（圖3)，會(huì)出現(xiàn)“高級(jí)自釋放選項(xiàng)”對(duì)話框，在該對(duì)話框的“釋放路徑”欄中輸入C:\Windows\temp（圖4)，其實(shí)“釋放路徑”可以隨便填，就算你設(shè)定的文件夾不存在也沒有關(guān)系，因?yàn)樵谧越鈮簳r(shí)會(huì)自動(dòng)創(chuàng)建該目錄。在“釋放后運(yùn)行”中輸入1.exe，也就是填入攻擊者打算隱蔽運(yùn)行的木馬文件的名字。 
（圖3)
（圖4)
下一步，請(qǐng)點(diǎn)擊“模式”選項(xiàng)卡，在該選項(xiàng)卡中把“全部隱藏”和“覆蓋所有文件”選上（圖5)，這樣不僅安全，而且隱蔽，不易為人所發(fā)現(xiàn)。如果你愿意的話，還可以改變這個(gè)自釋放文件的窗口標(biāo)題和圖標(biāo)，點(diǎn)擊“文字和圖標(biāo)”（圖6)，在該選項(xiàng)卡的“自釋文件窗口標(biāo)題”和“顯示用于自釋文件窗口的文本”中輸入你想顯示的內(nèi)容即可，這樣更具備欺騙性，更容易使人上當(dāng)。最后，點(diǎn)擊“確定”按鈕返回到“檔案文件名字和參數(shù)”對(duì)話框。 
（圖5)
（圖6)
    下面請(qǐng)你點(diǎn)擊“注釋”選項(xiàng)卡，你會(huì)看到如圖所示的內(nèi)容（圖7），這是WinRAR根據(jù)你前面的設(shè)定自動(dòng)加入的內(nèi)容，其實(shí)就是自釋放腳本命令。其中，C:\Windows\temp代表自解壓路徑，Setup=1.exe表示釋放后運(yùn)行1.exe文件即木馬服務(wù)端文件。而Silent和Overwrite分別代表是否隱藏和覆蓋文件，賦值為1則代表“全部隱藏”和“覆蓋所有文件”。一般說來，給你下木馬的人為了隱蔽起見，會(huì)修改上面的自釋放腳本命令，比如他們會(huì)把腳本改為如下內(nèi)容：
(圖7）
 
    仔細(xì)看，其實(shí)就是加上了Setup=explorer.exe 1.swf這一行，點(diǎn)擊“確定”按鈕后就會(huì)生成一個(gè)名為暴笑三國.exe的自解壓文件，現(xiàn)在只要有人雙擊該文件，就會(huì)打開1.swf這個(gè)動(dòng)畫文件，而當(dāng)人們津津有味的欣賞漂亮的Flash動(dòng)畫時(shí)，木馬程序1.exe已經(jīng)悄悄地運(yùn)行了！更可怕的是，還可以在WinRAR中就可以把自解壓文件的默認(rèn)圖標(biāo)換掉，如果換成你熟悉的軟件的圖標(biāo)，對(duì)大家來說是不是更危險(xiǎn)？ 

利用WinRAR制作的自解壓文件，不僅可以用來加載隱蔽的木馬服務(wù)端程序，還可以用來修改對(duì)方的注冊(cè)表。比方說，攻擊者可以編寫一個(gè)名為change.reg的文件。接下來用“實(shí)例”中的辦法將這個(gè)文件制作成自解壓文件，保存為del.exe文件即可。注意在制作過程中要在“注釋”中寫上如下內(nèi)容：
 
    完成后按“確定”按扭，就會(huì)建立出一個(gè)名為del.exe的Winrar自解壓程序，雙擊運(yùn)行這個(gè)文件，將不會(huì)有導(dǎo)入注冊(cè)表時(shí)的提示信息（這就是給regedit加上“/s”參數(shù)的原因）就修改了注冊(cè)表鍵值，并把change.reg拷貝到C:\Windows文件夾下。此時(shí)你的注冊(cè)表已經(jīng)被修改了！不僅如此，攻擊者還可以把這個(gè)自解壓文件del.exe和木馬服務(wù)端程序或硬盤炸彈等用WinRAR捆綁在一起，然后制作成自解壓文件，那樣對(duì)大家的威脅將更大！因?yàn)樗粌H能破壞注冊(cè)表，還會(huì)破壞大家的硬盤數(shù)據(jù)，想想看是不是很可怕？ 
    從上面的實(shí)例中不難看出，WinRAR的自解壓功能真的是太強(qiáng)大了，它能使得不會(huì)編程的人也能在短時(shí)間內(nèi)制作出非常狠毒的惡意程序。而且對(duì)于含有木馬或惡意程序的自解壓文件，目前許多流行的殺毒軟件和木馬查殺軟件竟無法查出其中有問題存在！不信的話，大家可以做個(gè)試驗(yàn)，就知道結(jié)果了。 
    那么該怎樣識(shí)別用WinRAR捆綁過的木馬呢？只要能發(fā)現(xiàn)自釋放文件里面隱藏有多個(gè)文件，特別是多個(gè)可執(zhí)行文件，就可以判定其中含有木馬！那么怎樣才能知道自釋放文件中含有幾個(gè)文件，是哪些文件呢？一個(gè)簡(jiǎn)單的識(shí)別的方法是：用鼠標(biāo)右擊WinRAR自釋放文件，在彈出菜單中選擇“屬性”，在“屬性”對(duì)話框中你會(huì)發(fā)現(xiàn)較之普通的EXE文件多出兩個(gè)標(biāo)簽，分別是：“檔案文件”和“注釋”（圖8），單擊“注釋”標(biāo)簽，看其中的注釋內(nèi)容，你就會(huì)發(fā)現(xiàn)里面含有哪些文件了，這樣就可以做到心中有數(shù)，這是識(shí)別用WinRAR捆綁木馬文件的最好方法。
 （圖8）
    最后再告訴大家一個(gè)防范方法，遇到自解壓程序不要直接運(yùn)行，而是選擇右鍵菜單中的“用WinRAR打開”，這樣你就會(huì)發(fā)現(xiàn)該文件中到底有什么了。

主題2，用WinRAR解析木馬的捆綁原理
今天朋友突然想我求救，說網(wǎng)絡(luò)游戲傳奇世界的號(hào)被盜了，由于朋友是在家上網(wǎng)，排除了在公共場(chǎng)所帳號(hào)和密碼被別他人瞟視的可能。據(jù)朋友所說，在被盜的前一個(gè)多小時(shí)，在網(wǎng)上下載了一個(gè)網(wǎng)友的照片，并打開瀏覽了，但是出現(xiàn)的確實(shí)是網(wǎng)友的照片，并且是用“Windows　圖片和傳真查看器”（朋友家是XP系統(tǒng)）打開的，這也可以肯定一定是圖片文件。朋友還告訴筆者后綴名是.gif，很顯然是圖片文件，朋友的電腦也沒有安裝殺毒軟件，并且最重要的是那個(gè)文件還沒有刪。
　　筆者便讓朋友把那個(gè)文件通過QQ發(fā)了過來，發(fā)送的時(shí)候筆者在qq顯示文件名中發(fā)現(xiàn)了那個(gè)文件并不是gif文件，而是exe文件，文件名是：我的照片.gif.exe，并且它的圖標(biāo)也是圖片文件的圖標(biāo)，見圖1。筆者認(rèn)為朋友的電腦應(yīng)該打開了“隱藏已知文件類型的擴(kuò)展名”（大家可以在“我的電腦”菜單中“工具→文件夾選項(xiàng)→查看→高級(jí)設(shè)置”中設(shè)置，見圖2，所以告訴我后綴名是gif。筆者無意中右點(diǎn)了下這個(gè)文件，發(fā)現(xiàn)可以用“WinRAR打開”，于是筆者就用WinRAR打開了，發(fā)現(xiàn)里面含有兩個(gè)文件——我的照片.gif和server.exe，可以肯定這server.exe就是木馬，也就是朋友盜傳奇世界號(hào)的罪魁禍?zhǔn)住?BR>
圖一

圖二
　　由于可以直接用WinRAR打開，筆者斷定它就是由WinRAR制作的，現(xiàn)在筆者就開始解密它的制作過程。首先要有圖片文件的ico（圖標(biāo)）文件（可以使用其他軟件提取，筆者就不在這里講述詳細(xì)過程了），如圖3。把圖片文件和木馬都選定，右點(diǎn)，選擇“添加到檔案文件”（WinRAR的選項(xiàng)），見圖4，在“檔案文件名”那輸入壓縮后的文件名，比如：我的照片.gif.exe，后綴如果為.exe就可以直接執(zhí)行，如果不是.rar就會(huì)打開WinRAR，所以這里最后的后綴為.exe，根據(jù)自己的需要選擇“壓縮方式”，然后點(diǎn)擊“高級(jí)”標(biāo)簽，選擇“SFX　選項(xiàng)”，見圖5，在“釋放路徑”中填入你需要解壓的路徑，筆者這里填的是“%systemroot%\temp”（不包括引號(hào)），表示解壓縮到系統(tǒng)安裝目錄下的temp（臨時(shí)文件）文件夾下，并且在“安裝程序”的“釋放后運(yùn)行”輸入“server.exe”（不包括引號(hào)），在“釋放前運(yùn)行”輸入“我的照片.gif”（不包括引號(hào)）。

圖三

圖四

圖五
　　這樣在解壓縮前將會(huì)打開我的照片.gif這個(gè)文件，造成朋友對(duì)文件判斷的假象，會(huì)認(rèn)為它就是一個(gè)圖片文件，而釋放完以后便會(huì)自動(dòng)運(yùn)行木馬（即server.exe）。在“模式”標(biāo)簽的“緘默模式”中選擇“全部隱藏”，“覆蓋方式”中選擇“覆蓋所有文件”，在“文字和圖標(biāo)”標(biāo)簽的“自定義SFX圖標(biāo)”，載入剛才所準(zhǔn)備的圖片文件的ico文件，然后點(diǎn)擊“確定”即可，這樣即天衣無縫的制作了一個(gè)捆綁圖片的木馬。當(dāng)打開這個(gè)文件時(shí)，會(huì)先運(yùn)行圖片文件，再自動(dòng)打開木馬文件，中間不會(huì)出現(xiàn)任何提示。
　　注：希望廣大朋友不要進(jìn)行非法用途，在這里解密木馬捆綁是希望大家了解其原理。

主題3，用WinRAR解析木馬的捆綁-補(bǔ)遺

朋友們看了《用WinRAR解析木馬的捆綁》可能會(huì)有一個(gè)疑問：有時(shí)遇到的WinRAR自解壓縮文件，自解壓以后同時(shí)運(yùn)行了多個(gè)文件（《用WinRAR解析木馬的捆綁》一文中介紹的是自解壓以后同時(shí)運(yùn)行了一個(gè)文件。），比如有的木馬運(yùn)行了客戶端，還會(huì)同時(shí)運(yùn)行幾個(gè)破壞程序，查殺起來也比較麻煩。
　　其實(shí)自解壓以后同時(shí)運(yùn)行了多個(gè)文件也很簡(jiǎn)單的。先按《用WinRAR解析木馬的捆綁》一文制作以后，再在"檔案文件名稱和參數(shù)"對(duì)話框中，選擇"注釋"，然后輸入:

　?。ú话?hào)。如圖。）。其中"a.exe"，"b.exe"，"c.exe"就是自解壓縮以后同時(shí)運(yùn)行的程序，但是它們必須在自解壓縮文件包內(nèi)。當(dāng)然，也可以不是程序，任何文件都可以（比知：圖像文件「.jpg，.gif．bmp」，動(dòng)畫文件「.swf」，文本文件「.txt」，網(wǎng)頁文件「.htm，.html，.shtml」等等。）。當(dāng)然也不限制同時(shí)運(yùn)行文件的數(shù)量，只要你想運(yùn)行多少就添加幾個(gè)"Setup="即可。點(diǎn)擊"確定"即開始制作自解壓縮文件。

　　其實(shí)也可以使多個(gè)文件（用快捷方式也不錯(cuò)哦?。┖喜橥粋€(gè)自解壓縮文件，但運(yùn)行時(shí)只需運(yùn)行一個(gè)自解壓縮文件，卻同時(shí)運(yùn)行了多個(gè)文件，"懶人"可以試試哦，搞個(gè)惡作劇也不錯(cuò)哦