必威注册电子书籍教程中心网文荟萃客户留言繁體中文
设为首页
加入收藏
联系必威注册
您当前的位置:92动力网 -> 教程中心 -> 网络冲浪 -> 防范措施 -> 教程内容 退出登录 用户管理
栏目导航
· 初学上网· 网页浏览
· 病毒快报· 防范措施
· 局域网专栏· 网络安全
· 系统安全· 黑客天空
· 网关代理· 网络技术
· 服务器· 网络其他
热门教程
· 如何在Visual Basic...
· 使用Visual Basic操...
· 使用VB6.0设计Activ...
· VB动态调用外部函数...
· 建立一个程序员自己...
· 如何编写高质量的VB...
· [图文] 为更新到Visual Bas...
· 再谈在VB中调用VC++...
· 用VB语言编程实现JP...
· 用DTS实现SQL数据库...
相关教程
· 巧用Windows和Word查...
· C#调用WIN32API系列...
· C#调用WIN32API系列...
· 充分利用Windows AP...
· 在Delphi中巧用WIND...
· 使用Win95的动画光标...
· 在VB中调用Windows ...
· Visual Basic调用Wi...
· [图文] 一种调用Win95 API实...
· VB中利用WinRAR进行...

用WinRAR解析木马病毒的捆绑原理
作者:admin聽聽来源:ASP教程聽聽发布时间:2004-12-12 21:37:12聽聽发布人:siforgern

减小字体 增大字体

聽聽聽 今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于朋友是在家上网,排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说,在被盗的前一个多小时,在网上下载了一个网友的照片,并打开浏览了,但是出现的确实是网友的照片,并且是用"Windows 图片和传真查看器"(朋友家是XP系统)打开的,这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif,很显然是图片文件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个文件还没有删。今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于朋友是在家上网,排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说,在被盗的前一个多小时,在网上下载了一个网友的照片,并打开浏览了,但是出现的确实是网友的照片,并且是用"Windows 图片和传真查看器"(朋友家是XP系统)打开的,这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif,很显然是图片文件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个文件还没有删。

聽聽聽 笔者便让朋友把那个文件通过QQ发了过来,发送的时候笔者在QQ显示文件名中发现了那个文件并不是gif文件,而是exe文件,文件名是:我的照片.gif.exe,并且它的图标也是图片文件的图标,见图1。笔者认为朋友的电脑应该打开了"隐藏已知文件类型的扩展名"(大家可以在"我的电脑"菜单中"工具→文件夹选项→查看→高级设置"中设置,见图2,所以告诉我后缀名是gif。笔者无意中右点了下这个文件,发现可以用"WinRAR打开",于是笔者就用WinRAR打开了,发现里面含有两个文件——我的照片.gif和server.exe,可以肯定这server.exe就是木马,也就是朋友盗传奇世界号的罪魁祸首。

聽聽聽 由于可以直接用WinRAR打开,笔者断定它就是由WinRAR制作的,现在笔者就开始解密它的制作过程。首先要有图片文件的ico(图标)文件(可以使用其他软件提取,笔者就不在这里讲述详细过程了),如图3。把图片文件和木马都选定,右点,选择"添加到档案文件"(WinRAR的选项),见图4,在"档案文件名"那输入压缩后的文件名,比如:我的照片.gif.exe,后缀如果为.exe就可以直接执行,如果不是.rar就会打开WinRAR,所以这里最后的后缀为.exe,根据自己的需要选择"压缩方式",然后点击"高级"标签,选择"SFX 选项",见图5,在"释放路径"中填入你需要解压的路径,笔者这里填的是"%systemroot%temp"(不包括引号),表示解压缩到系统安装目录下的temp(临时文件)文件夹下,并且在"安装程序"的"释放后运行"输入"server.exe"(不包括引号),在"释放前运行"输入"我的照片.gif"(不包括引号)。

聽聽聽 这样在解压缩前将会打开我的照片.gif这个文件,造成朋友对文件判断的假象,会认为它就是一个图片文件,而释放完以后便会自动运行木马(即server.exe)。在"模式"标签的"缄默模式"中选择"全部隐藏","覆盖方式"中选择"覆盖所有文件",在"文字和图标"标签的"自定义SFX图标",载入刚才所准备的图片文件的ico文件,然后点击"确定"即可,这样即天衣无缝的制作了一个捆绑图片的木马。当打开这个文件时,会先运行图片文件,再自动打开木马文件,中间不会出现任何提示。

聽聽聽 注:希望广大朋友不要进行非法用途,在这里解密木马捆绑是希望大家了解其原理。

[] [返回上一页] [打 印] [收 藏]
∷相关教程评论∷    (评论内容只代表网友观点,与本站立场无关!) [更多评论...]
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 网站地图 - 管理登录
Copyright 2019 必威注册. All Rights Reserved .
浙ICP备05047688号