木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起，欺骗被攻击者。然而，现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势，几乎所有的捆绑类软件都会被查杀，大大小小的木马纷纷失效。
　　IExpress小档案
　　出身:Microsoft
　　功能:专用于制作各种 CAB 压缩与自解压缩包的工具。
　　由于是Windows自带的程序，所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包，而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
　　到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边，近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。
　　原理
　　IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包，这些自解压包能够自动运行程序包中包含的EXE程序。 IExpress技术是Microsoft使用的一项技术，用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。
　　如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:
　　1.右键单击该程序包，然后单击“属性”。
　　2.在“常规”选项卡中，查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。
　　实际操作
　　在这一部分，笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。
　　第一步
　　在“运行”对话框中输入IExpress就可启动程序。
　　在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项，然后点击“下一步”按钮。
　　第二步
　　接下来选择制作木马自解压包的三种打包方式，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。
　　因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。
　　第三步
　　在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示” (No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。
　　第四步
　　现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。
　　随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。
　　第五步
　　接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。
　　第六步

[1] [2] 下一页

上一篇:Windows XP关闭端口保安全

下一篇:Linux环境下Lotus Domino /Notes 6.0的安装与配置