帶你實(shí)踐木馬捆綁

木馬為什么防不勝防?其中一個(gè)重要原因就是它特別善于偽裝，比如把自己與正常程序捆綁在—起，欺騙用戶來運(yùn)行。除了木馬，還有很多惡意軟件也在使用“捆綁”這種方法。

文件捆綁來龍去脈

捆綁方法不斷地推陳出新，到目前為止大概經(jīng)歷了三個(gè)不同的時(shí)期。最早只是將一個(gè)文件添加到另一個(gè)文件的尾部，運(yùn)行時(shí)要先分解再運(yùn)行。常見的“EXE文件捆綁機(jī)”、“萬能文件捆綁器”、“GWBinder2002”等是這類捆綁程序的代表。

接著，出現(xiàn)了利用一些壓縮程序來捆綁文件，實(shí)際上就是將多個(gè)文件壓縮到一起，利用程序的自解壓功能來執(zhí)行操作。我們常用的WinRAR也可以作為這類捆綁工具(在本文最后有具體方法)。

再后來的捆綁是將文件插入到程序的內(nèi)部，因?yàn)槊總€(gè)應(yīng)用程序內(nèi)部都有一定的空間可以被利用。這樣就可以保證被插入的程序“原封不動(dòng)”，這樣就更具有迷惑性和欺騙性。這類程序的代表包括“RobinPE”、“EkChuah”等。

其實(shí)，文件捆綁并非是黑客的專利，例如Windows自帶的一款名為IExpress的小工具，它可以制造出各種CAB格式的壓縮文件和自解壓程序。IExpress使用了多種不同的自解壓文件技術(shù)對(duì)軟件更新信息進(jìn)行打包，這些格式能夠自動(dòng)運(yùn)行程序包中的程序，比如常見的系統(tǒng)補(bǔ)丁。當(dāng)然，你也可以用它來捆綁木馬。

黑客們?cè)鯓永壞抉R

下面用一款全新的捆綁工具Ek Chuah，來為大家進(jìn)行木馬捆綁的演示。運(yùn)行Ek Chuah程序，點(diǎn)擊“相關(guān)設(shè)置”中的“基本設(shè)置”，在“待合并文件”中設(shè)置準(zhǔn)備捆綁的文件，黑客們要準(zhǔn)備的就是木馬了。接著在下面的“宿主文件”設(shè)置被捆綁的文件，這里可以任意的選擇一個(gè)應(yīng)用程序。

Ek Chuah程序本身提供了三種捆綁方式。“搜索多余空字節(jié)”是在捆綁文件中搜索程序內(nèi)部縫隙，嘗試把待捆綁文件分散插入到縫隙中；“擴(kuò)展最后—節(jié)表”是把捆綁文件的最后一個(gè)節(jié)表，增加到待合并文件的大小然后插人文件；“加入新節(jié)表”可以說是第二種方法的延續(xù)，只不過是添加一個(gè)新的節(jié)表。這里我們選擇第二項(xiàng)“擴(kuò)展最后一節(jié)表”。

現(xiàn)在點(diǎn)擊“高級(jí)設(shè)置”選項(xiàng)，包括人口點(diǎn)模糊EPO、文件體加密、文件頭多態(tài)等三個(gè)項(xiàng)目。入口點(diǎn)模糊(EPO)技術(shù)主要可以防止被殺毒軟件在入口點(diǎn)進(jìn)行特征碼的提取，確保不會(huì)被殺毒軟件所查殺。其余兩項(xiàng)也都是用于防范殺毒軟件的，按照默認(rèn)的進(jìn)行設(shè)置，設(shè)置完成后就點(diǎn)擊“開始合并”進(jìn)行合并即可生成帶木馬的新程序!

用WinRAR玩捆綁

前面已經(jīng)提到文件捆綁并不是黑客的專利，如果你想體驗(yàn)下捆綁，那就打開電腦中的WinRAR程序，并準(zhǔn)備好兩個(gè)EXE可執(zhí)行文件(假設(shè)文件名為“正常程序.exe”和“木馬.exe”)。

Step 1把它們添加生成一個(gè)新的自解壓文件，接下來點(diǎn)擊“高級(jí)”選項(xiàng)卡，然后單擊“SFX選項(xiàng)”按鈕，會(huì)出現(xiàn)“高級(jí)自釋放選項(xiàng)”對(duì)話框，“釋放路徑”可以隨便填。在“釋放后運(yùn)行”中輸入“木馬.exe”。

Step 2接著選擇“模式”標(biāo)簽，選中“全部隱藏”和“覆蓋所有文件”選項(xiàng)，這是為了不讓RAR文件解壓的時(shí)候彈出提示窗口。

Step 3點(diǎn)擊“文字和圖標(biāo)”標(biāo)簽，通過“瀏覽”按鈕選擇一個(gè)喜歡的圖標(biāo)就可以呢。點(diǎn)擊“確定”按鈕返回，在同一個(gè)目錄下就會(huì)生成一個(gè)與RAR同名的EXE文件，這個(gè)就是用WINRAR“捆綁”后的文件了。

捆綁這種方法也有一些好的應(yīng)用例子，比如我們完全可以將系統(tǒng)補(bǔ)丁，利用“捆綁”集合在一起，系統(tǒng)重裝以后就可以一次性安裝成功，省去逐個(gè)下載安裝的麻煩。