亚洲免费人人妻人人,cao78在线视频,福建一级毛片,91精品视频免费观看,高清另类图片操逼,日本特黄特色大片免费看,超碰欧美人人澡曰曰澡夜夜泛

WinRAR捆綁木馬 -電腦資料

電腦資料 時(shí)間:2019-01-01 我要投稿
【m.msguai.com - 電腦資料】

  兼容Vista WinRAR 3.70下載下載:WinRAR 3.60最終正式版根據(jù)PE文件格式獲取LoadLibraryA()揭開WinRAR不能解壓之謎Detours (api hook)library介紹WinRAR解壓縮CRC出錯(cuò)之解決方法WinRAR壓縮軟件應(yīng)用大全小心警惕 解壓RAR文件你得悠著點(diǎn)如何設(shè)置密碼能提高加密RAR文件的安全WinRAR 簡(jiǎn)體中文版 3.70 beta 1 ,

WinRAR捆綁木馬

。 隨著人們安全意識(shí)的提高,木馬的生存越來(lái)越成為問題,木馬種植者當(dāng)然不甘心木馬就這樣被人所發(fā)覺,于是他們想出許多辦法來(lái)偽裝隱藏自己的行為,利用WinRAR捆綁木馬就是其中的手段之一。那么我們?cè)趺床拍茏R(shí)別出其中藏有木馬呢?本文講述的正是這個(gè)問題。

  攻擊者可以把木馬和其他可執(zhí)行文件,比方說Flash動(dòng)畫放在同一個(gè)文件夾下,然后將這兩個(gè)文件添加到檔案文件中,并將文件制作為exe格式的自釋放文件,這樣,當(dāng)你雙擊這個(gè)自釋放文件時(shí),就會(huì)在啟動(dòng)Flash動(dòng)畫等文件的同時(shí)悄悄地運(yùn)行木馬文件!這樣就達(dá)到了木馬種植者的目的,即運(yùn)行木馬服務(wù)端程序。而這一招效果又非常好,令對(duì)方很難察覺到,因?yàn)椴]有明顯的征兆存在,所以目前使用這種方法來(lái)運(yùn)行木馬非常普遍。為戳穿這種偽裝,了解其制作過程,做到知己知彼,下面我們來(lái)看一個(gè)實(shí)例。

  下面我們以一個(gè)實(shí)例來(lái)了解這種捆綁木馬的方法。目標(biāo)是將一個(gè)Flash動(dòng)畫(1.swf)和木馬服務(wù)端文件(1.exe)捆綁在一起,做成自釋放文件,如果你運(yùn)行該文件,在顯示Flash動(dòng)畫的同時(shí)就會(huì)中木馬!具體方法是:把這兩個(gè)文件放在同一個(gè)目錄下,按住Ctrl鍵的同時(shí)用鼠標(biāo)選中1.swf和1.exe,然后點(diǎn)擊鼠標(biāo)右鍵,在彈出菜單中選擇添加到檔案文件,會(huì)出現(xiàn)一個(gè)標(biāo)題為檔案文件名字和參數(shù)的對(duì)話框(圖2),在該對(duì)話框的檔案文件名欄中輸入任意一個(gè)文件名,比方說暴笑三國(guó).exe(只要容易吸引別人點(diǎn)擊就可以)。注意,文件擴(kuò)展名一定得是.exe(也就是將創(chuàng)建自釋放格式檔案文件勾選上),而默認(rèn)情況下為.rar,要改過來(lái)才行,否則無(wú)法進(jìn)行下一步的工作。 接下來(lái)點(diǎn)擊高級(jí)選項(xiàng)卡,然后單擊SFX選項(xiàng)按鈕(圖3),會(huì)出現(xiàn)高級(jí)自釋放選項(xiàng)對(duì)話框(圖4),在該對(duì)話框的釋放路徑欄中輸入C:\Windows\temp,其實(shí)釋放路徑可以隨便填,就算你設(shè)定的文件夾不存在也沒有關(guān)系,因?yàn)樵谧越鈮簳r(shí)會(huì)自動(dòng)創(chuàng)建該目錄。在釋放后運(yùn)行中輸入1.exe,也就是填入攻擊者打算隱蔽運(yùn)行的木馬文件的名字。 下一步,請(qǐng)點(diǎn)擊模式選項(xiàng)卡,在該選項(xiàng)卡中把全部隱藏和覆蓋所有文件選上(圖5),這樣不僅安全,而且隱蔽,不易為人所發(fā)現(xiàn)。如果你愿意的話,還可以改變這個(gè)自釋放文件的窗口標(biāo)題和圖標(biāo),點(diǎn)擊文字和圖標(biāo)(圖6),在該選項(xiàng)卡的自釋文件窗口標(biāo)題和顯示用于自釋文件窗口的文本中輸入你想顯示的內(nèi)容即可,這樣更具備欺騙性,更容易使人上當(dāng)。最后,點(diǎn)擊確定按鈕返回到檔案文件名字和參數(shù)對(duì)話框。 下面請(qǐng)你點(diǎn)擊注釋選項(xiàng)卡,你會(huì)看到如圖所示的內(nèi)容(圖7),這是WinRAR根據(jù)你前面的設(shè)定自動(dòng)加入的內(nèi)容,其實(shí)就是自釋放腳本命令,

電腦資料

WinRAR捆綁木馬》(http://m.msguai.com)。其中,C:\Windows\temp代表自解壓路徑,Setup=1.exe表示釋放后運(yùn)行1.exe文件即木馬服務(wù)端文件。而Silent和Overwrite分別代表是否隱藏和覆蓋文件,賦值為1則代表全部隱藏和覆蓋所有文件。一般說來(lái),給你下木馬的人為了隱蔽起見,會(huì)修改上面的自釋放腳本命令,比如他們會(huì)把腳本改為如下內(nèi)容: Path=c:\windows\temp Setup=1.exe Setup=explorer.exe 1.swf Silent=1 Overwrite=1 仔細(xì)看,其實(shí)就是加上了Setup=explorer.exe 1.swf這一行,點(diǎn)擊確定按鈕后就會(huì)生成一個(gè)名為暴笑三國(guó).exe的自解壓文件,現(xiàn)在只要有人雙擊該文件,就會(huì)打開1.swf這個(gè)動(dòng)畫文件,而當(dāng)人們津津有味的欣賞漂亮的Flash動(dòng)畫時(shí),木馬程序1.exe已經(jīng)悄悄地運(yùn)行了!更可怕的是,還可以在WinRAR中就可以把自解壓文件的默認(rèn)圖標(biāo)換掉,如果換成你熟悉的軟件的圖標(biāo),對(duì)大家來(lái)說是不是更危險(xiǎn)?

  利用WinRAR制作的自解壓文件,不僅可以用來(lái)加載隱蔽的木馬服務(wù)端程序,還可以用來(lái)修改對(duì)方的注冊(cè)表。比方說,攻擊者可以編寫一個(gè)名為change.reg的文件。接下來(lái)用實(shí)例中的辦法將這個(gè)文件制作成自解壓文件,保存為del.exe文件即可。注意在制作過程中要在注釋中寫上如下內(nèi)容: Path=c:\Windows Setup=regedit /s change.reg Silent=1 Overwrite=1 完成后按確定按扭,就會(huì)建立出一個(gè)名為del.exe的Winrar自解壓程序,雙擊運(yùn)行這個(gè)文件,將不會(huì)有導(dǎo)入注冊(cè)表時(shí)的提示信息(這就是給regedit加上/s參數(shù)的原因)就修改了注冊(cè)表鍵值,并把change.reg拷貝到C:\Windows文件夾下。此時(shí)你的注冊(cè)表已經(jīng)被修改了!不僅如此,攻擊者還可以把這個(gè)自解壓文件del.exe和木馬服務(wù)端程序或硬盤炸彈等用WinRAR捆綁在一起,然后制作成自解壓文件,那樣對(duì)大家的威脅將更大!因?yàn)樗粌H能破壞注冊(cè)表,還會(huì)破壞大家的硬盤數(shù)據(jù),想想看是不是很可怕?

  從上面的實(shí)例中不難看出,WinRAR的自解壓功能真的是太強(qiáng)大了,它能使得不會(huì)編程的人也能在短時(shí)間內(nèi)制作出非常狠毒的惡意程序。而且對(duì)于含有木馬或惡意程序的自解壓文件,目前許多流行的殺毒軟件和木馬查殺軟件竟無(wú)法查出其中有問題存在!不信的話,大家可以做個(gè)試驗(yàn),就知道結(jié)果了。 那么該怎樣識(shí)別用WinRAR捆綁過的木馬呢?只要能發(fā)現(xiàn)自釋放文件里面隱藏有多個(gè)文件,特別是多個(gè)可執(zhí)行文件,就可以判定其中含有木馬!那么怎樣才能知道自釋放文件中含有幾個(gè)文件,是哪些文件呢?一個(gè)簡(jiǎn)單的識(shí)別的方法是:用鼠標(biāo)右擊WinRAR自釋放文件,在彈出菜單中選擇屬性,在屬性對(duì)話框中你會(huì)發(fā)現(xiàn)較之普通的EXE文件多出兩個(gè)標(biāo)簽,分別是:檔案文件和注釋(圖8),單擊注釋標(biāo)簽,看其中的注釋內(nèi)容,你就會(huì)發(fā)現(xiàn)里面含有哪些文件了,這樣就可以做到心中有數(shù),這是識(shí)別用WinRAR捆綁木馬文件的最好方法。 最后再告訴大家一個(gè)防范方法,遇到自解壓程序不要直接運(yùn)行,而是選擇右鍵菜單中的用WinRAR打開,這樣你就會(huì)發(fā)現(xiàn)該文件中到底有什么了。

最新文章