揭开WinRAR注释秘密

将病毒木马等恶意程序和正常的文件捆绑在一起，并在自解压包中添加运行指令，当用户运行此类压缩包，如果不仔细检查的话，就会招致隐藏在其中的病毒的攻击。

其实，对付这类捆绑文件方法有很多，最简单的就是先使用WinRAR打开该自解压包，查看其内容。当然，病毒可能经过免杀处理。或者会将恶意程序更名，或者为其起一个具有迷惑性质的名称，来逃避用户的检查。对此，只需点击WinRAR工具栏上的“注释”按钮，可以查看其包含的所有控制指令。如果发现“setop”之类的危险指令，就应该引起我们的警觉，不要轻易运行该自解压包，而要对其采取进一步检测处理。不过，有些病毒比较狡猾，会采取隐藏注释的手段，将可疑的指令信息隐藏起来，来麻痹用户，进而实现非法运行的目的。

图1 导出隐形注释信息

例如，笔者不久之前就遇到了这种情况。当从网上下载了一个感兴趣的软件后，发现其采用的是自解压格式，出于安全性的考虑，使用WinRAR将其打开，并没有发现明显问题。打开注释窗口，发现里面只是简单的说明信息。于是放心地双击该自解压包，但是安装的某款杀毒软件却提示有可疑程序活动，查看其监控日志，发现可疑程序是从该自解压包中释放出来的。毫无疑问，该自解压包一定存在问题，当运行时会放出可疑程序，并利用内置的控制指令激活该可疑程序。但是，在该自解压包中的注释信息并没有看到任何控制指令。该可疑程序虽然经过免杀处理，不过其活动却遭到了杀毒软件主动防御功能的拦截，并没有对系统造成什么危害。经过对该自解压包的研究，终于发现了问题所在。

原来，该自解压包包含有隐形注释信息，直接查看其注释信息，只能看到一些无关紧要的说明信息。其实，真正的控制指令处于隐藏状态。要想查看这些隐藏注释并不难，在WinRAR中提供了很多命令行参数，其中的“cw”开关就是用来显示隐藏注释信息的。在CMD窗口中切换到WinRAR运行路径，默认为“C:Program FilesWinRAR”文件夹。执行“winrar cw keyiwenjian.exe zhushi.txt”命令，就可以 将“keyiwenjian.exe” 中的隐藏注释信息保存到名为“zhushi.txt”的文件中（如图1所示）。当然，该指令导出的是ACSII格式的文本，如果执 行“winrar keyiwenjian.exe—scuc zhushi.txt”命令，可以导出基于Unicode格式的文本文件。

图2 查看真实的注释信息

打开“zhushi.txt”文件，就可以显示完整的注释信息了。从中可以看到，前两行显示的都是正常的说明信息，但是第三行却显示了一个奇怪的字符，之后的内容在正常的注释窗口中是无法显示的（如图2所示）。看来，这个奇怪的字符大有来头。为了搞清其来历，笔者运行了WinHex这款强大的编辑软件，在其主界面中点击菜单“文件”-“打开”项，导入该注释文件。发现这个奇怪字符的ASCII编码为1A，对应的十进制数值为26。因为该字符为非打印字符不可见字符，所以使用Notepad2等工具将其打开，就可以将其正确显示出来了。

将该字符复制出来，之后使用WinRAR创建一个自解压文件，并在注释中添加一些控制指令，之后将该字符粘贴到其中某条指令的前面，然后完成该自解压文件的创建。之后使用WinRAR打开该自解压文件，在注释窗口中果然发现该行指令及其之后的内容彻底消失了。当运行该自解压文件时，会发现所有的内置指令执行的都很正确，并没有因为该特殊字符而造成任何影响，也就是说，隐藏的控制指令同样可以正常运行。其实，您无需使用别的编辑工具，只需在WinRAR注释信息编辑窗口中按下ALT键的同时，在小键盘上输入26，同样可以快速输入该特殊字符。

根据以上分析不难看出，利用该特殊字符，就可以将之后的注释信息隐藏起来。这种方法如果被病毒恶意利用，其危害是不言而喻的。因为用户看不到这些危险的指令，所有很容易对其放松警惕，从而放心大胆地运行病毒精心制作的自解压包，隐藏在其中的病毒木马文件就会乘机侵入系统。如果这些恶意程序经过免杀处理，其危害性将变得更大。所以，当我们在检测可疑的自解压文件时，不要被表面的假象所迷惑，而应该对其进行深入分析。利用WinRAR提供的“cw”命令行开关，来检测其中是否存在隐藏注释信息，如果存在的话，就应该小心应对，将其删除或者将其内容全部释放出来，将其中的可疑文件清除。

顺便说一下，当我们从网上得到WinRAR格式的压缩包时，如果仔细查看的话，会发现里面的内容往往很杂，不仅有我们需要的文件，而且还包含其它一些垃圾文件，例如HTML、CMD、BAT、TXT、SCR、CHM、REG等类型的文件，其中有些是正常的可用文件，而有些则是藏有猫腻的不法之徒。当您不经意间双击了这些文件，轻则系统配置遭到恶意篡改，重则掉入恶意网站招来病毒的袭击。其实，我们完全可以利用WinRAR自带的过滤功能，将无关的垃圾文件排除在外，而只显示我们只要的正常文件。在WinRAR主界面中点击菜单“选项”-“设置”项，在设置窗口中的“安全”面板中勾选“解压时排除的文件类型”项，在其下输入需要排除的文件类型，例如“*.html *.asp *.reg*.exe *.com *.pif *.scr*.reg *.cmd *.bat”等，不同的类型之间以半角空格分割。点击确定按钮保存配置信息，以后在解压RAR文件时，这些文件类型就会自动被排除在外了。

当然，上述方法仅仅是将不需要的文件排除在外，如果您想将RAR压缩包中的垃圾文件彻底清除的话，可以利用WinRAR自带的命令行参数来完成。首先在桌面上右击“我的电脑”图标，在弹出窗口中点击“属性”项，在系统属性窗口中的“高级”面板中点击“环境变量”按钮，在弹出窗口中的“系统变量”栏中双击“Path”项，在弹出窗口中的“变量值”栏末尾输入“；”，之后添加WinRAR的运行路径，例如“C:Program FilesWinRAR”（不带引号）。之后点击确定按钮保存路径信息。使用记事本建立一个后缀为“.cmd”的文件，例如其名称为“clear.cmd”。其内容为“FOR/r %%v IN (*.rar) DO rar d "%%v" *.html *.asp *.reg*.exe *.com *.pif *.scr *.reg-r”。注意，其中的垃圾文件信息需要根据实际情况而定。之后将“clear.cmd”文件放置到存储RAR文件的目录中，运行该“clear.cmd”文件，就可以将该路径下所有RAR包中的预设垃圾信息全部清除。