利⽤WinRAR来捆绑⽊马2个技巧
随着⼈们安全意识的提⾼,⽊马的⽣存越来越成为问题,⽊马种植者当然不⽢⼼⽊马就这样被⼈所发觉,于是他们想出许多办法来伪装隐藏⾃⼰的⾏为,利⽤WinRAR捆绑⽊马就是其中的⼿段之⼀。那么我们怎么才能识别出其中藏有⽊马呢?本⽂讲述的正是这个问题。
攻击者可以把⽊马和其他可执⾏⽂件,⽐⽅说Flash动画放在同⼀个⽂件夹下,然后将这两个⽂件添加到档案⽂件中,并将⽂件制作为exe格式的⾃释放⽂件,这样,当你双击这个⾃释放⽂件时,就会在启动Flash动画等⽂件的同时悄悄地运⾏⽊马⽂件!这样就达到了⽊马种植者的⽬的,即运⾏⽊马服务端程序。⽽这⼀招效果⼜⾮常好,令对⽅很难察觉到,因为并没有明显的征兆存在,所以⽬前使⽤这种⽅法来运⾏⽊马⾮常普遍。为戳穿这种伪装,了解其制作过程,做到知⼰知彼,下⾯我们来看⼀个实例。 下⾯我们以⼀个实例来了解这种捆绑⽊马的⽅法。⽬标是将⼀个Flash动画(1.swf)和⽊马服务端⽂件(1.exe)捆绑在⼀起,做成⾃释放⽂件,如果你运⾏该⽂件,在显⽰Flash动画的同时就会中⽊马!具体⽅法是:把这两个⽂件放在同⼀个⽬录下,按住Ctrl键的同时⽤⿏标选中1.swf和1.exe,然后点击⿏标右键,在弹出菜单中选择“添加到档案⽂件”(图1),会出现⼀个标题为“档案⽂件名字和参数”的对话框,在该对话框的“档案⽂件名”栏中输⼊任意⼀个⽂件名,⽐⽅说暴笑三国.exe(只要容易吸引别⼈点击就可以)。注意,⽂件扩展名⼀定得是.exe(也就是将“创建⾃释放格式档案⽂件”勾选上),⽽默认情况下为.rar,要改过来才⾏,否则⽆法进⾏下⼀步的⼯作(图2)
(图1)
(图2)
接下来点击“⾼级”选项卡,然后单击“SFX选项”按钮(图3),会出现“⾼级⾃释放选项”对话框,在该对话框的“释放路径”栏中输⼊C:\Windows\temp(图4),其实“释放路径”可以随便填,就算你设定的⽂件夹不存在也没有关系,因为在⾃解压时会⾃动创建该⽬录。在“释放后运⾏”中输⼊1.exe,也就是填⼊攻击者打算隐蔽运⾏的⽊马⽂件的名字。 (图3)
(图4)
下⼀步,请点击“模式”选项卡,在该选项卡中把“全部隐藏”和“覆盖所有⽂件”选上(图5),这样不仅安全,⽽且隐蔽,不易为⼈所发现。如果你愿意的话,还可以改变这个⾃释放⽂件的窗⼝标题和图标,点击“⽂字和图标”(图6),在该选项卡的“⾃释⽂件窗⼝标题”和“显⽰⽤于⾃释⽂件窗⼝的⽂本”中输⼊你想显⽰的内容即可,这样更具备欺骗性,更容易使⼈上当。最后,点
击“确定”按钮返回到“档案⽂件名字和参数”对话框。
(图5)
(图6)
下⾯请你点击“注释”选项卡,你会看到如图所⽰的内容(图7),这是WinRAR根据你前⾯的设定⾃动加⼊的内容,其实就是⾃释放脚本命令。其中,C:\Windows\temp代表⾃解压路径,表⽰释放后运⾏1.exe⽂件即⽊马服务端⽂件。⽽Silent和Overwrite分别代表是否隐藏和覆盖⽂件,赋值为1则代表“全部隐藏”和“覆盖所有⽂件”。⼀般说来,给你下⽊马的⼈为了隐蔽起见,会修改上⾯的⾃释放脚本命令,⽐如他们会把脚本改为如下内容:刹车马达
小分子抑制剂
(图7)
程序代码
Path=c:\windows\temp
1.swf
Silent=1
Overwrite=1
仔细看,其实就是加上了 1.swf这⼀⾏,点击“确定”按钮后就会⽣成⼀个名为暴笑三国.exe的⾃解压⽂件,现在只要有⼈双击该⽂件,就会打开1.swf这个动画⽂件,⽽当⼈们津津有味的欣赏漂亮的Flash动画时,⽊马程序1.exe 已经悄悄地运⾏了!更可怕的是,还可以在WinRAR中就可以把⾃解压⽂件的默认图标换掉,如果换成你熟悉的软件的图标,对⼤家来说是不是更危险?
利⽤WinRAR制作的⾃解压⽂件,不仅可以⽤来加载隐蔽的⽊马服务端程序,还可以⽤来修改对⽅的注册表。⽐⽅说,攻击者可以编写⼀个名为的⽂件。接下来⽤“实例”中的办法将这个⽂件制作成⾃解压⽂件,保存为⽂件即可。注意在制作过程中要在“注释”中写上如下内容:
程序代码
Path=c:\Windows
Setup=regedit /
Silent=1
Overwrite=1
完成后按“确定”按扭,就会建⽴出⼀个名为的Winrar⾃解压程序,双击运⾏这个⽂件,将不会有导⼊注册表时的提⽰
信息(这就是给regedit加上“/s”参数的原因)就修改了注册表键值,并把拷贝到C:\Windows⽂件夹下。此时你的注册表已经被修改了!不仅如此,攻击者还可以把这个⾃解压⽂件和⽊马服务端程序或硬盘等⽤WinRAR捆绑在⼀起,然后制作成⾃解压⽂件,那样对⼤家的威胁将更⼤!因为它不仅能破坏注册表,还会破坏⼤家的硬盘数据,想想看是不是很可怕?
从上⾯的实例中不难看出,WinRAR的⾃解压功能真的是太强⼤了,它能使得不会编程的⼈也能在短时间内制作出⾮常狠毒的恶意程序。⽽且对于含有⽊马或恶意程序的⾃解压⽂件,⽬前许多流⾏的杀毒软件和⽊马查杀软件竟⽆法查出其中有问题存在!不信的话,⼤家可以做个试验,就知道结果了。
那么该怎样识别⽤WinRAR捆绑过的⽊马呢?只要能发现⾃释放⽂件⾥⾯隐藏有多个⽂件,特别是多个可执⾏⽂件,就可以判定其中含有⽊马!那么怎样才能知道⾃释放⽂件中含有⼏个⽂件,是哪些⽂件呢?⼀个简单的识别的⽅法是:⽤⿏标右击WinRAR⾃释放⽂件,在弹出菜单中选择“属性”,在“属性”对话框中你会发现较之普通的EXE⽂件多出两个标签,分别是:“档案⽂件”和“注释”(图8),单击“注释”标签,看其中的注释内容,你就会发现⾥⾯含有哪些⽂件了,这样就可以做到⼼中有数,这是识别⽤WinRAR捆绑⽊马⽂件的最好⽅法。
(图8)
分液罐
最后再告诉⼤家⼀个防范⽅法,遇到⾃解压程序不要直接运⾏,⽽是选择右键菜单中的“⽤WinRAR打
开”,这样你就会发现该⽂件中到底有什么了。模结构
主题2,⽤WinRAR解析⽊马的捆绑原理
今天朋友突然想我求救,说⽹络游戏传奇世界的号被盗了,由于朋友是在家上⽹,排除了在公共场所帐号和密码被别他⼈瞟视的可能。据朋友所说,在被盗的前⼀个多⼩时,在⽹上下载了⼀个⽹友的照⽚,并打开浏览了,但是出现的确实是⽹友的照⽚,并且是⽤“Windows 图⽚和传真查看器”(朋友家是XP系统)打开的,这也可以肯定⼀定是图⽚⽂件。朋友还告诉笔者后缀名是.gif,很显然是图⽚⽂件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个⽂件还没有删。 笔者便让朋友把那个⽂件通过QQ发了过来,发送的时候笔者在qq显⽰⽂件名中发现了那个⽂件并不是gif⽂件,⽽是exe ⽂件,⽂件名是:我的照⽚.,并且它的图标也是图⽚⽂件的图标,见图1。笔者认为朋友的电脑应该打开了“隐藏已知⽂件类型的扩展名”(⼤家可以在“我的电脑”菜单中“⼯具→⽂件夹选项→查看→⾼级设置”中设置,见图2,所以告诉我后缀名是gif。笔者⽆意中右点了下这个⽂件,发现可以⽤“WinRAR打开”,于是笔者就⽤WinRAR打开了,发现⾥⾯含有两个⽂件——我的照⽚.gif和,可以肯定这就是⽊马,也就是朋友盗传奇世界号的罪魁祸⾸。
图⼀
图⼆
地面网 由于可以直接⽤WinRAR打开,笔者断定它就是由WinRAR制作的,现在笔者就开始解密它的制作过程。⾸先要有图⽚⽂件的ico(图标)⽂件(可以使⽤其他软件提取,笔者就不在这⾥讲述详细过程了),如图3。把图⽚⽂件和⽊马都选定,右点,选择“添加到档案⽂件”(WinRAR的选项),见图4,在“档案⽂件名”那输⼊压缩后的⽂件名,⽐如:我的照⽚.,后缀如果为.exe就可以直接执⾏,如果不是.rar就会打开WinRAR,所以这⾥最后的后缀为.exe,根据⾃⼰的需要选择“压缩⽅式”,然后点击“⾼级”标签,选择“SFX 选项”,见图5,在“释放路径”中填⼊你需要解压的路径,笔者这⾥填的
是“%systemroot%\temp”(不包括引号),表⽰解压缩到系统安装⽬录下的temp(临时⽂件)⽂件夹下,并且在“安装程
序”的“释放后运⾏”输⼊“”(不包括引号),在“释放前运⾏”输⼊“我的照⽚.gif”(不包括引号)。
图三
图四
图五
这样在解压缩前将会打开我的照⽚.gif这个⽂件,造成朋友对⽂件判断的假象,会认为它就是⼀个图⽚⽂件,⽽释放完以后便会⾃动运⾏⽊马(即)。在“模式”标签的“缄默模式”中选择“全部隐藏”,“覆盖⽅式”中选择“覆盖所有⽂件”,
在“⽂字和图标”标签的“⾃定义SFX图标”,载⼊刚才所准备的图⽚⽂件的ico⽂件,然后点击“确定”即可,这样即天⾐⽆缝的制作了⼀个捆绑图⽚的⽊马。当打开这个⽂件时,会先运⾏图⽚⽂件,再⾃动打开⽊马⽂件,中间不会出现任何提⽰。
注:希望⼴⼤朋友不要进⾏⾮法⽤途,在这⾥解密⽊马捆绑是希望⼤家了解其原理。
主题3,⽤WinRAR解析⽊马的捆绑-补遗
朋友们看了《⽤WinRAR解析⽊马的捆绑》可能会有⼀个疑问:有时遇到的WinRAR⾃解压缩⽂件,⾃解压以后同时运⾏了多个⽂件(《⽤WinRAR解析⽊马的捆绑》⼀⽂中介绍的是⾃解压以后同时运⾏了⼀个⽂件。),⽐如有的⽊马运⾏了客户端,还会同时运⾏⼏个破坏程序,查杀起来也⽐较⿇烦。
其实⾃解压以后同时运⾏了多个⽂件也很简单的。先按《⽤WinRAR解析⽊马的捆绑》⼀⽂制作以后,再在"档案⽂件名称和参数"对话框中,选择"注释",然后输⼊:
程序代码
(不包含引号。如图。)。其中"a.exe","b.exe","c.exe"就是⾃解压缩以后同时运⾏的程序,但是它们必须在⾃解压缩⽂件包内。当然,也可以不是程序,任何⽂件都可以(⽐知:图像⽂件「.jpg,.gif.bmp」,动画⽂件「.swf」,⽂本⽂件「.txt」,⽹页⽂件「.htm,.html,.shtml」等等。)。当然也不限制同时运⾏⽂件的数量,只要你想运⾏多少就添加⼏个"Setup="即可。点击"确定"即开始制作⾃解压缩⽂件。
其实也可以使多个⽂件(⽤快捷⽅式也不错哦!)合并为同⼀个⾃解压缩⽂件,但运⾏时只需运⾏⼀个⾃解压缩⽂件,却
同时运⾏了多个⽂件,"懒⼈"可以试试哦,搞个恶作剧也不错哦
>磁卡门禁机
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议