Windows如何為電腦打造“免檢”木馬

　　喜歡鉆研木馬的用戶會發(fā)現(xiàn)木馬傳播通常將木馬程序和合法程序捆綁在一起，欺騙被攻擊者。而現(xiàn)在有許多的軟件都已克制木馬的傳播了，以下是小編為大家搜索整理的Windows如何為電腦打造“免檢”木馬，希望能給大家?guī)�來幫�?更多精彩內(nèi)容請及時關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!

　　原理

　　IExpress使用了多種不同的自解壓縮文件技術(shù)對軟件更新文件進行打包，這些自解壓包能夠自動運行程序包中包含的EXE程序。IExpress技術(shù)是Microsoft使用的一項技術(shù)，用于為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種產(chǎn)品創(chuàng)建軟件更新程序包。

　　如何確定某個軟件更新程序包是否使用了IExpress呢?方法如下：

　　1.右鍵單擊該程序包，然后單擊“屬性”。

　　2.在“常規(guī)”選項卡中，查看“描述”。使用了IExpress技術(shù)的軟件更新程序包中會包含“Win32 Cabinet Self-Extractor”字樣。

　　實際操作

　　在這一部分，筆者將以實例的形式為大家詳細講解捆綁木馬的整個過程。

　　第一步

　　在“運行”對話框中輸入IExpress就可啟動程序(圖1)。

　　在開始的時候會有兩個選項供你選擇，一個是創(chuàng)建新的自解壓文件(Create new Self Extraction Directive file)，另一個是打開已經(jīng)保存的自解壓模板“.sed”文件(Open existing Self Extraction Directive file)。我們應(yīng)該選擇第一項，然后點擊“下一步”按鈕。

　　第二步

　　接下來選擇制作木馬自解壓包的三種打包方式(圖2)，它們分別是建立自解壓并自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。

　　因為我們要制作的是木馬解壓包，所以應(yīng)該選擇第一項。在輸入壓縮包標題后點擊“下一步”按鈕。

　　第三步

　　在“確認提示”(Confirmation prompt)這一環(huán)節(jié)，軟件會詢問在木馬程序解包前是否提示用戶進行確認，由于我們是在制作木馬程序的解壓包，當然越隱蔽越好，選擇第一項“不提示”(No prompt)，這么做的目的是讓中招人毫無防備。點擊“下一步”按鈕，在接下來的添加“用戶允許協(xié)議”(License agreement)中添加一個偽裝的用戶協(xié)議迷惑中招者，選擇“顯示用戶允許協(xié)議”(Display a license)，點擊“Browse”選擇一份編輯好的TXT文檔，此文檔可以用微軟公司的名義來編輯，設(shè)置完畢后點擊“下一步”。這一步的目的是迷惑對手并隱藏木馬安裝的過程。

　　第四步

　　現(xiàn)在，我們就進入了文件列表窗口(Packaged files)。點擊該窗口中的“Add”按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據(jù)剛才編輯的協(xié)議文件的內(nèi)容添加合法程序。例如，你制作的協(xié)議和IE補丁包相關(guān)，那么你就可將木馬和一個正常的IE補丁包添加進來。

　　隨后進入安裝程序選擇窗口，指定解壓縮包開始運行的文件(Install Program)和安裝結(jié)束后運行的程序(post install command)。例如，在Install Program內(nèi)設(shè)置正常的IE補丁包先運行，此時木馬并未運行，在中招者看來的確是一個IE補丁包。在post install command內(nèi)設(shè)置木馬程序，這樣在IE補丁包安裝完畢時，木馬程序?qū)�會在后臺執(zhí)行，我們的目的也就達到了。

　　第五步

　　接下來選擇軟件在安裝過程中的顯示模式(Show window)。由于我們的木馬是和合法程序捆綁在一起的，所以選擇“默認”(Default)即可。接下來進行提示語句(Finished message)的顯示設(shè)置，由于我們做的是木馬捆綁安裝程序，當然應(yīng)該選擇“No message”。

　　第六步

　　上述設(shè)置完成后，接著設(shè)置自解壓程序的保存位置和名稱。在這里要選擇“Hide File Extracting Progress Animation from User”，以便隱藏解壓縮過程，有助于隱藏某些木馬程序啟動時彈出的命令提示框。最后，設(shè)置在軟件安裝完成后是否重新啟動(Configure reboot)，可以根據(jù)實際需要來選擇。如果你所用的木馬是“即插即用”的，那么就選擇“No reboot”;如果所采用的木馬用于開啟終端服務(wù)，那么可選擇“Always reboot”，同時選擇“重新啟動前不提示用戶”(Do not prompt user before reboot)。

　　在保存剛才所做的設(shè)置后點擊“下一步”按鈕，即可開始制作木馬自解壓程序。

　　整個制作過程是在DOS下進行的，在完成度達到100%后會彈出提示窗口，點擊“完成”，木馬程序與合法程序的捆綁工作就完成了(格式為EXE)，直接雙擊即可運行。你再用殺毒軟件查一查。怎么樣?已經(jīng)完全不會被查出來了吧。

　　現(xiàn)在還等什么?趕快利用“木馬屠城”介紹過的網(wǎng)頁木馬傳播技術(shù)或木馬電子書技術(shù)發(fā)布你的木馬去吧。當然，你也可以把它作為IE的重要補丁發(fā)送給別人。

　　不用第三方工具，無需過多的加殼偽裝，讓“Windows”來為我們服務(wù)，為我們捆綁木馬，豈不快哉。

　　防范措施

　　可以先檢查可疑的程序包是否采用了IExpress技術(shù)(“原理”部分已介紹)。如果采用了IExpress技術(shù)，那么你就得留心了，此時可以進入命令提示符下使用“IExpress /c”命令來解壓縮文件(不進行安裝)以檢查程序包中是否有木馬，同時還可加上參數(shù)“/t:path”指定解壓路徑。

　　編后：

　　普通用戶應(yīng)該提高警惕了，很多木馬制作者了解到用戶對漏洞的恐懼，利用用戶急著打最新補丁的心理借機入侵。在看似合法的補丁程序中，極有可能隱藏著木馬程序。所以，在此提醒大家，千萬不要在操作系統(tǒng)和軟件的非官方站點下載補丁程序包，因為這些程序包很有可能是被捆綁了惡意程序的虛假程序包。

【W(wǎng)indows如何為電腦打造“免檢”木馬】相關(guān)文章：

如何從Windows進程中判斷病毒和木馬08-09

電腦中了電腦病毒木馬解決方法03-03

七招打造安全的Windows XP操作系統(tǒng)03-16

windows7電腦發(fā)射無線教程07-03

如何設(shè)置Windows電腦開機密碼01-02

windows系統(tǒng)電腦快捷鍵大全07-22

平板電腦使用Windows 8系統(tǒng)的技巧02-03

電腦中的木馬病毒如何徹底查殺12-16

windows常用電腦快捷鍵大全03-01