木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起,欺骗被攻击者 。然而,现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势,几乎所有的捆绑类软件都会被查杀,大大小小的木马纷纷失效 。
IExpress小档案
出身:Microsoft
功能:专用于制作各种 CAB 压缩与自解压缩包的工具 。
由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性 。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人 。
到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前 。可千万别忘了与你朝夕相处的Windows 。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统) 。
原理
IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包,这些自解压包能够自动运行程序包中包含的EXE程序 。IExpress技术是Microsoft使用的一项技术,用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包 。
如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:
1.右键单击该程序包,然后单击“属性” 。
2.在“常规”选项卡中,查看“描述” 。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样 。
实际操作
在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程 。
第一步
在“运行”对话框中输入IExpress就可启动程序(图1) 。
图一
在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self Extraction Directive file),另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file) 。我们应该选择第一项,然后点击“下一步”按钮 。
第二步
接下来选择制作木马自解压包的三种打包方式(图2),它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only) 。
因为我们要制作的是木马解压包,所以应该选择第一项 。在输入压缩包标题后点击“下一步”按钮 。
推荐阅读
- Mac Fn组合按键功能与使用方法
- 细实线的一般用途是什么
- win10公文包同步方法
- 让Windows XP登录与计划不再冲突
- 原装iPhone 3G使用心得
- 微信分支付怎么用
- 轻松破解 Windows登录密码
- 太阳灶利用光的什么原理
- 醒面的作用
- 炖牛肉的做法