下面的文章主要介紹的是攻用WinRAR捆綁木馬技巧和防范的正確操作，現(xiàn)在隨著人們安全意識(shí)的不斷提高，木馬生存也變的很難了，當(dāng)然木馬種植者肯定不甘心木馬就這樣被人所發(fā)覺(jué)，于是他們想出許多辦法來(lái)偽裝隱藏自己的行為，利用WinRAR捆綁木馬就是其中的手段之一。

隨著人們安全意識(shí)的提高，木馬的生存越來(lái)越成為問(wèn)題，木馬種植者當(dāng)然不甘心木馬就這樣被人所發(fā)覺(jué)，于是他們想出許多辦法來(lái)偽裝隱藏自己的行為，利用WinRAR捆綁木馬就是其中的手段之一。那么我們?cè)趺床拍茏R(shí)別出其中藏有木馬呢?本文講述的正是這個(gè)問(wèn)題。

攻擊者可以把木馬和其他可執(zhí)行文件，比方說(shuō)Flash動(dòng)畫(huà)放在同一個(gè)文件夾下，然后將這兩個(gè)文件添加到檔案文件中，并將文件制作為exe格式的自釋放文件，這樣，當(dāng)你雙擊這個(gè)自釋放文件時(shí)，就會(huì)在啟動(dòng)Flash動(dòng)畫(huà)等文件的同時(shí)悄悄地運(yùn)行木馬文件!這樣就達(dá)到了木馬種植者的目的，即運(yùn)行木馬服務(wù)端程序。

而這一招效果又非常好，令對(duì)方很難察覺(jué)到，因?yàn)椴�沒(méi)有明顯的征兆存在，所以目前使用這種方法來(lái)運(yùn)行木馬非常普遍。為戳穿這種偽裝，了解其制作過(guò)程，做到知己知彼，下面我們來(lái)看一個(gè)實(shí)例。

下面我們以一個(gè)實(shí)例來(lái)了解這種WinRAR捆綁木馬的方法。目標(biāo)是將一個(gè)Flash動(dòng)畫(huà)(1.swf)和木馬服務(wù)端文件(1.exe)捆綁在一起，做成自釋放文件，如果你運(yùn)行該文件，在顯示Flash動(dòng)畫(huà)的同時(shí)就會(huì)中木馬!具體方法是：

把這兩個(gè)文件放在同一個(gè)目錄下，按住Ctrl鍵的同時(shí)用鼠標(biāo)選中1.swf和1.exe，然后點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單中選擇“添加到檔案文件”，會(huì)出現(xiàn)一個(gè)標(biāo)題為“檔案文件名字和參數(shù)”的對(duì)話框，在該對(duì)話框的“檔案文件名”欄中輸入任意一個(gè)文件名，比方說(shuō)暴笑三國(guó).exe(只要容易吸引別人點(diǎn)擊就可以)。注意，文件擴(kuò)展名一定得是.exe(也就是將“創(chuàng)建自釋放格式檔案文件”勾選上)，而默認(rèn)情況下為.rar，要改過(guò)來(lái)才行，否則無(wú)法進(jìn)行下一步的工作。

接下來(lái)點(diǎn)擊“高級(jí)”選項(xiàng)卡，然后單擊“SFX選項(xiàng)”按鈕，會(huì)出現(xiàn)“高級(jí)自釋放選項(xiàng)”對(duì)話框，在該對(duì)話框的“釋放路徑”欄中輸入C:Windows emp，其實(shí)“釋放路徑”可以隨便填，就算你設(shè)定的文件夾不存在也沒(méi)有關(guān)系，因?yàn)樵谧越鈮簳r(shí)會(huì)自動(dòng)創(chuàng)建該目錄。在“釋放后運(yùn)行”中輸入1.exe，也就是填入攻擊者打算隱蔽運(yùn)行的木馬文件的名字。

下一步，請(qǐng)點(diǎn)擊“模式”選項(xiàng)卡，在該選項(xiàng)卡中把“全部隱藏”和“覆蓋所有文件”選上，這樣不僅安全，而且隱蔽，不易為人所發(fā)現(xiàn)。如果你愿意的話，還可以改變這個(gè)自釋放文件的窗口標(biāo)題和圖標(biāo)，點(diǎn)擊“文字和圖標(biāo)”，在該選項(xiàng)卡的“自釋文件窗口標(biāo)題”和“顯示用于自釋文件窗口的文本”中輸入你想顯示的內(nèi)容即可，這樣更具備欺騙性，更容易使人上當(dāng)。

最后，點(diǎn)擊“確定”按鈕返回到“檔案文件名字和參數(shù)”對(duì)話框。 下面請(qǐng)你點(diǎn)擊“注釋”選項(xiàng)卡，你會(huì)看到如圖所示的內(nèi)容，這是WinRAR捆綁木馬根據(jù)你前面的設(shè)定自動(dòng)加入的內(nèi)容，其實(shí)就是自釋放腳本命令。

其中，C:Windows emp代表自解壓路徑，Setup=1.exe表示釋放后運(yùn)行1.exe文件即木馬服務(wù)端文件。而Silent和Overwrite分別代表是否隱藏和覆蓋文件，賦值為1則代表“全部隱藏”和“覆蓋所有文件”。一般說(shuō)來(lái)，給你下木馬的人為了隱蔽起見(jiàn)，會(huì)修改上面的自釋放腳本命令，比如他們會(huì)把腳本改為如下內(nèi)容：

Path=c:windows emp

Setup=1.exe

Setup=explorer.exe 1.swf

Silent=1

Overwrite=1

仔細(xì)看，其實(shí)就是加上了Setup=explorer.exe 1.swf這一行，點(diǎn)擊“確定”按鈕后就會(huì)生成一個(gè)名為暴笑三國(guó).exe的自解壓文件，現(xiàn)在只要有人雙擊該文件，就會(huì)打開(kāi)1.swf這個(gè)動(dòng)畫(huà)文件，而當(dāng)人們津津有味的欣賞漂亮的Flash動(dòng)畫(huà)時(shí)，木馬程序1.exe已經(jīng)悄悄地運(yùn)行了!更可怕的是，還可以在WinRAR捆綁木馬中就可以把自解壓文件的默認(rèn)圖標(biāo)換掉，如果換成你熟悉的軟件的圖標(biāo)，對(duì)大家來(lái)說(shuō)是不是更危險(xiǎn)?