用WinRAR解密木马捆绑的原理

今天朋友突然想我求救，说网络游戏传奇世界的号被盗了，由于朋友是在家上网，排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说，在被盗的前一个多小时，在网上下载了一个网友的照片，并打开浏览了，但是出现的确实是网友的照片，并且是用“windows　图片和传真查看器”（朋友家是xp系统）打开的，这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif，很显然是图片文件，朋友的电脑也没有安装杀毒软件，并且最重要的是那个文件还没有删。=版权所有热点网络热点下载热点网络学院版权所有=

　笔者便让朋友把那个文件通过ｑｑ发了过来，发送的时候笔者在ｑｑ显示文件名中发现了那个文件并不是gif文件，而是exe文件，文件名是：我的照片.gif.exe，并且它的图标也是图片文件的图标，见图1。笔者认为朋友的电脑应该打开了“隐藏已知文件类型的扩展名”（大家可以在“我的电脑”菜单中“工具→文件夹选项→查看→高级设置”中设置，见图2，所以告诉我后缀名是gif。笔者无意中右点了下这个文件，发现可以用“winrar打开”，于是笔者就用winrar打开了，发现里面含有两个文件——我的照片.gif和server.exe，可以肯定这server.exe就是木马，也就是朋友盗传奇世界号的罪魁祸首。

图 2

　　由于可以直接用winrar打开，笔者断定它就是由winrar制作的，现在笔者就开始解密它的制作过程。首先要有图片文件的ico（图标）文件（可以使用其他软件提取，笔者就不在这里讲述详细过程了），如图3。把图片文件和木马都选定，右点，选择“添加到档案文件”（winrar的选项），见图4，在“档案文件名”那输入压缩后的文件名，比如：我的照片.gif.exe，后缀如果?exe就可以直接执行，如果不是.rar就会打开winrar，所以这里最后的后缀为.exe，根据自己的需要选择“压缩方式”，然后点击“高级”标签，选择“sfx　选项”，见图5，在“释放路径”中填入你需要解压的路径，笔者这里填的是“%systemroot%\temp”（不包括引号），表示解压缩到系统安装目录下的temp（临时文件）文件夹下，并且在“安装程序”的“释放后运行”输入“server.exe”（不包括引号），在“释放前运行”输入“我的照片.gif”（不包括引号）。 =版权所有热点网络热点下载热点网络学院版权所有=

图 4

热点网络热点下载热点网络学院版权所有=

　　注：希望广大朋友不要进行非法用途，在这里解密木马捆绑是希望大家了解其原理。

（）

下一篇：微软IE面临失宠而使用安全性更好的浏览器

↓相关文章：