浅析木马捆绑伪装的多种方式

于海雯

摘要：介绍了木马捆绑伪装的几种方式，并分析了各种方式的原理及其优劣。

关键词：文件捆绑；常规捆绑；压缩捆绑；插入捆绑；克隆捆绑

中图分类号：TP39 文献标识码：A文章编号：1009-3044（2012）30-7214-02

木马之所以狡猾，是因为它除了能躲避杀毒软件的查杀外，还能诱骗用户运行。木马伪装，以捆绑方式最为常见，将恶意程序和正常的文件进行捆绑，是黑客最常用、最可行、最简单的方式，当受害者运行这些捆绑了恶意程序的文件后，电脑就在不知不觉中中招了！而且，几乎所有格式的文件，都能捆绑上木马，包括很多人认为不会带病毒的文件，比如：电影文件.rm、图片格式文件.jpg、等，都无一幸免！其中电影文件.rmvb一般是捆绑了弹窗广告，而大多数广告链接网站都有毒！所以去除广告链接，就安全了。

如果我们能对木马的捆绑伪装方式有充分地了解，知己知彼，那么就可以更好地保护我们的计算机系统不受侵害。

1 文件捆绑

文件捆绑，当然需要捆绑器软件，捆绑器的使用一般分为以下几个步骤：

1） 添加捆绑文件，包括要捆绑的恶意程序和被捆绑的正常文件，比如：各种图片、迷你小游戏、FLASH动画文件，等；

2）设置捆绑的属性并选择捆绑后的文件图标；

3）合并生成相应的文件。

读者可以上网随意下个捆绑机软件，比如“EXE捆绑机”软件，可以将两个可执行文件（.exe文件）捆绑成一个文件，运行捆绑后的文件等于同时运行了两个文件；它会自动更改图标，使捆绑后的文件与捆绑前的文件图标一样。

文件捆绑，具体来讲，又分为常规捆绑、压缩捆绑、插入捆绑、克隆捆绑，等多种方式。下面，本文将分析目前常见的几种木马捆绑伪装方式，从而让大家更好地了解木马运行的整个流程。

2 常规捆绑

常规捆绑比较简单，比如，“南城剑盟捆绑器”，功能非常专业强大，具有对捆绑文件修改属性、日期时间，图标提取、修改图标、释放路径配置等功能。该软件使用中应注意文件添加顺序，一般先添加被捆绑的正常文件，最后添加要捆绑的恶意程序，这样才能使之具有更好的迷惑性和隐秘性。

3 压缩捆绑

压缩捆绑是非常简单易行的木马伪装方式，很多菜鸟级黑客首次制作的恶意软件包就是采取该种方式伪装；压缩捆绑机软件有：

1）“WINRAR”软件！大名鼎鼎，简单，好用；

2）WINDOWS系统自带的IExpress软件；

3）其他，比如：“永不查杀的捆绑器”、“万能文件捆绑器”，等。

注：

WINRAR一般压缩成自解压文件包，为了在用户打开自解压包时能自动运行其中的恶意程序，一般还需修改注释、用宏汇编工具“C32Asm”等，对自解压包进行修改；

Iexpress的优势：因为是Windows系统自带的专用于制作各种 CAB 压缩与自解压缩包的工具，那么用Iexpress伪装免杀的木马一般的杀毒软件都不会报警！

“永不查杀的捆绑器”、“万能文件捆绑器”，这2款都是灰鸽子工作室推出的捆绑机。

4 插入捆绑

前面2种捆绑，对于有病毒防护知识的用户来讲，较容易被识破；因为虽然木马捆绑是一种常见的木马植入手段，也给木马提供了较好的伪装，但是宿主文件的大小在捆绑木马后会发生变化，尤其是一些体积较大的木马，会使捆绑后的文件体积发生明显变化，用户只需稍微细心些就能识破。

于是插入捆绑出现了！其原理是：考虑到每个应用程序内部都有一定的空间可以被利用，这样就可以保证被插入的程序“原封不动”，显然更具有迷惑性和欺骗性。

这类插入捆绑器软件的代表有：Ek Chuah、RobinPE，等。

4.1 Ek Chuah

比如Ek Chuah，对应于插入的不同位置，它提供了三种捆绑方式：1）“搜索多余空字节”；2）“扩展最后一节表”；3）“加入新节表”。

另外，Ek Chuah采取的一些技术，比如：“入口点模糊EPO”，能很好地防止被杀毒软件在入口点提取特征码，从而不被杀毒软件查杀；“文件体加密”则能把随机取得的种子和待捆绑的文件进行加密处理；“文件头多态”通过增加多态模块来防止杀毒软件，即在文件头入口以及异或部分，增加了多态模块，如果你在设置中选择了多态，会在这2个部分增加随机的代码（每次捆绑都不同），以达到防止一定程度的特征码定位的目的。

4.2 RobinPE

使用RobinPE在正常程序中植入木马前，首先要计算程序文件可利用的空间，将后门木马植入缝隙（理论上讲可以藏匿在任意的可执行程序文件中）自然就不额外增加代码块，从而使被植入文件大小不发生变化。

当然，考虑到木马体积大小问题，同时又不希望增加被植入文件的大小，那么，根据“计算空间”的大小，可以考虑“整体植入”（将木马文件全部植入一个.exe文件之中）；或“分体植入”（将一个文件拆解植入到多个宿主文件里，以保证木马文件有足够的存放空间），分体植入法，由于不仅不改变被植入文件的大小，而且木马文件分散，特征码更加隐蔽，几乎完全可以躲过杀毒软件的查杀！

比如将木马植入Windows的重要系统文件explorer.exe，同时对服务端程序“Server.exe”进行加壳处理，可躲过杀毒软件的查杀，然后运行工具RobinPE。

5 克隆捆绑

大名鼎鼎的GHOST，很多人喜欢用它来装系统，网上也因此提供了多种版本的OS，比如：DeepIn、雨林木风、萝卜家园，等；树大招风吧，在这类.gho、.iso文件中，如果增加后门木马，那么，只要下载了这个.gho文件的用户，都将不幸成为黑客的又一只“肉鸡”！

比如官方推出的Ghost Explorer，就是一款不错的克隆捆绑机，只要事先准备好木马，之后就只需要将木马服务端程序和Windows系统自带的笔记本、注册表、计算器等其中的任意一个系统程序文件进行捆绑，然后用捆绑生成的文件替换掉.gho中原有的程序文件即可。此方法木马隐藏很深，很难引起用户的怀疑。

6 结束语

木马伪装方式多种，本文只历数若干捆绑方式。所谓“道高一尺魔高一丈”，杀毒软件技术在不断升级的过程中，木马的隐藏手段也在不断进步和发展；我们任重而道远！

参考文献：

[1] 顾巧论.计算机网络安全[M].3版.北京：科学出版社，2011.

[2] 万立夫.木马攻防全攻略[M].北京：电脑报电子音像出版社，2009.

[3] 谢希仁.计算机网络[M].5版.北京：电子工业出版社，2009.