计算机木马的木马捆绑

计算机运行命令中有个系统自带捆绑木马的命令~

木马传播者最惯用的手段就是将木马程序和合法程序捆绑在一起，欺骗被攻击者。然而，现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势，几乎所有的捆绑类软件都会被查杀，大大小小的木马纷纷失效。

IExpress小档案

出身:Microsoft

功能:专用于制作各种 CAB 压缩与自解压缩包的工具。

由于是Windows自带的程序，所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包，而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。

到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边，近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。

原理

IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包，这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术，用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。

如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:

1.右键单击该程序包，然后单击“属性”。
2.在“常规”选项卡中，查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。

实际操作

在这一部分，笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。

第一步

在“运行”对话框中输入IExpress就可启动程序(图1)。


在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项，然后点击“下一步”按钮。

第二步


接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。


因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

防范措施

可以先检查可疑的程序包是否采用了IExpress技术(“原理”部分已介绍)。如果采用了IExpress技术，那么你就得留心了，此时可以进入命令提示符下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有木马，同时还可加上参数“/t:path”指定解压路径。

编后:

普通用户应该提高警惕了，很多木马制作者了解到用户对漏洞的恐惧，利用用户急着打最新补丁的心理借机入侵。在看似合法的补丁程序中，极有可能隐藏着木马程序。所以，在此提醒大家，千万不要在操作系统和软件的非官方站点下载补丁程序包，因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。

木马捆绑，通俗地讲就是把木马的代码嵌入其他类型的文件，便于伪装，比如，大名鼎鼎的国产木马“冰河”，他就自带一个捆绑工具，可以把木马代码嵌入到网页文件、图片文件、可执行文件等多种支持脚本语言或运行代码的文件中。当接受方收到这些文件时，几乎感觉不到有任何异样，但在后台，木马代码却悄然进入内存并运行。
如果你的电脑莫名其妙地死机或重启,如果硬盘在无操作的情况下频繁被访问,如果系统无端搜索软驱、光驱,如果系统速度异常缓慢，系统资源占用率过高...你是否已经意识到你的电脑可能被植入了木马程序？
“特洛伊木马”，不是历史上那场惊心动魄的战争，而是互联网上广为祸患的一种危险程序。木马在今天的网络上可谓无所不在，像“BO Back Orifice ”、“冰河”都是一种木马程序甚至，连掌上电脑（PDA）的世界也已经出现了“木马”程序（Liberty Crack）。人们谈“马”色变，下面，我就给大家说说可怕的“特洛伊木马”到底是怎么回事。

---

文县13145934627： 什么意思》?什么木马捆绑??？
止飞欣能： 木马捆绑.指的是把木马和一个正常的可执行程序捆绑起来,这样在执行正常程序的时候,木马程序就会在用户不知情的情况下被执行!严重危害电脑安全!不过现在的主流杀毒软件一般都能检测出这种捆绑.(只要是可执行程序都可以被捆绑在一起,不一定要木马)

文县13145934627： 请问什么是捆绑式木马?它是怎样运作的? ？
止飞欣能： 捆绑式木马是木马程序和一般程序通过捆绑软件捆绑在一起的,这是木马植入的一种方式,捆绑软件可以将两个或多个程序捆绑在一起,生成一个程序,当你运行这个程序时,系统就会自动运行被捆绑的那些程序,

文县13145934627： 怎么用系统自带木马困绑?？
止飞欣能： dos命令里有捆绑命令,不实用,rar软件就能捆绑,添加照片和马两个文件,注意顺序

文县13145934627： XP系统自带的木马捆绑工具如何使用? - ？
止飞欣能： 工具介绍: 名称:IExpress 功能:专用于制作各种 CAB 压缩与自解压缩包的工具. 实际操作 第一步 在“运行”对话框中输入IExpress就可启动程序. 在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self ...

文县13145934627： 谁知道什么类型的文件里可以捆绑木马 - ？
止飞欣能： 很多都能捆绑木马 比如1、文件扩展名欺骗 见没见过这样的文件名“Picture.jpg.exe”由于Windows默认是不显示扩展名的,所以这样的文件名我们看到只是Picture.jpg.如果再给它换个图标呢,欺骗性是不是很大.2、文件捆绑欺骗 把木马服务...

文县13145934627： 怎么发送简单的木马给他人电脑 - ？
止飞欣能： 1、到对方的机器上安装木马(预先设置好接受密码的邮箱) 技术要求低,用别人的软件.但是1)必须有机会别人的机器上2)对方机器的没有有效的杀毒软件和防火墙. 2、发送附有木马的邮件(或文件等等)给对方,诱骗别人执行,或者利...

文县13145934627： 木马病毒的工作原理?木马病毒的定义? - ？
止飞欣能： 木马病毒的工作原理:一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分).植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑.运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统.木马病毒的定义:是指通过特定的程序(木马程序)来控制另一台计算机.

文县13145934627： 【急急急急急急!!!】怎么解决捆绑木马? - ？
止飞欣能： 您好,建议您安装电脑管家最新版,并将病毒库升级至最新版,然后重新启动您的电脑,在开机过程中按F8进入安全模式,使用电脑管家对您的电脑进行一次深入彻底的木马病毒查杀,如发现病毒请立即处理,稍后正常重启机器即可.安全提示,为了电脑系统的安全,下载或接收文件后一定要先使用电脑管家查杀无异常以后再打开.希望帮助到您,电脑管家竭诚为您服务,您的支持是我们的动力,望采纳.管家下载地址 腾讯电脑管家官网 腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/

文县13145934627： 电脑中了木马杀不掉怎么办 - ？
止飞欣能： 木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你.下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招哟! 1、集成到程序中 其实木马也是一个服...

文县13145934627： 木马是怎样进入电脑的? - ？
止飞欣能： 相信很多朋友都听说过木马程序,总觉得它很神秘、很高难,但事实上随着木马软件的智能化,很多骇客都能轻松达到攻击的目的.今天,笔者就以最新的一款木马程序??黑洞2004,从种植、使用、隐藏、防范四个方面来为网络爱好者介绍一...