于海雯

摘要：介紹了木馬捆綁偽裝的幾種方式，并分析了各種方式的原理及其優(yōu)劣。

關(guān)鍵詞：文件捆綁；常規(guī)捆綁；壓縮捆綁；插入捆綁；克隆捆綁

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044（2012）30-7214-02

木馬之所以狡猾，是因?yàn)樗四芏惚軞⒍拒浖牟闅⑼猓€能誘騙用戶運(yùn)行。木馬偽裝，以捆綁方式最為常見(jiàn)，將惡意程序和正常的文件進(jìn)行捆綁，是黑客最常用、最可行、最簡(jiǎn)單的方式，當(dāng)受害者運(yùn)行這些捆綁了惡意程序的文件后，電腦就在不知不覺(jué)中中招了！而且，幾乎所有格式的文件，都能捆綁上木馬，包括很多人認(rèn)為不會(huì)帶病毒的文件，比如：電影文件.rm、圖片格式文件.jpg、等，都無(wú)一幸免！其中電影文件.rmvb一般是捆綁了彈窗廣告，而大多數(shù)廣告鏈接網(wǎng)站都有毒！所以去除廣告鏈接，就安全了。

如果我們能對(duì)木馬的捆綁偽裝方式有充分地了解，知己知彼，那么就可以更好地保護(hù)我們的計(jì)算機(jī)系統(tǒng)不受侵害。

1 文件捆綁

文件捆綁，當(dāng)然需要捆綁器軟件，捆綁器的使用一般分為以下幾個(gè)步驟：

1） 添加捆綁文件，包括要捆綁的惡意程序和被捆綁的正常文件，比如：各種圖片、迷你小游戲、FLASH動(dòng)畫(huà)文件，等；

2）設(shè)置捆綁的屬性并選擇捆綁后的文件圖標(biāo)；

3）合并生成相應(yīng)的文件。

讀者可以上網(wǎng)隨意下個(gè)捆綁機(jī)軟件，比如“EXE捆綁機(jī)”軟件，可以將兩個(gè)可執(zhí)行文件（.exe文件）捆綁成一個(gè)文件，運(yùn)行捆綁后的文件等于同時(shí)運(yùn)行了兩個(gè)文件；它會(huì)自動(dòng)更改圖標(biāo)，使捆綁后的文件與捆綁前的文件圖標(biāo)一樣。

文件捆綁，具體來(lái)講，又分為常規(guī)捆綁、壓縮捆綁、插入捆綁、克隆捆綁，等多種方式。下面，本文將分析目前常見(jiàn)的幾種木馬捆綁偽裝方式，從而讓大家更好地了解木馬運(yùn)行的整個(gè)流程。

2 常規(guī)捆綁

常規(guī)捆綁比較簡(jiǎn)單，比如，“南城劍盟捆綁器”，功能非常專業(yè)強(qiáng)大，具有對(duì)捆綁文件修改屬性、日期時(shí)間，圖標(biāo)提取、修改圖標(biāo)、釋放路徑配置等功能。該軟件使用中應(yīng)注意文件添加順序，一般先添加被捆綁的正常文件，最后添加要捆綁的惡意程序，這樣才能使之具有更好的迷惑性和隱秘性。

3 壓縮捆綁

壓縮捆綁是非常簡(jiǎn)單易行的木馬偽裝方式，很多菜鳥(niǎo)級(jí)黑客首次制作的惡意軟件包就是采取該種方式偽裝；壓縮捆綁機(jī)軟件有：

1）“WINRAR”軟件！大名鼎鼎，簡(jiǎn)單，好用；

2）WINDOWS系統(tǒng)自帶的IExpress軟件；

3）其他，比如：“永不查殺的捆綁器”、“萬(wàn)能文件捆綁器”，等。

注：

WINRAR一般壓縮成自解壓文件包，為了在用戶打開(kāi)自解壓包時(shí)能自動(dòng)運(yùn)行其中的惡意程序，一般還需修改注釋、用宏匯編工具“C32Asm”等，對(duì)自解壓包進(jìn)行修改；

Iexpress的優(yōu)勢(shì)：因?yàn)槭荳indows系統(tǒng)自帶的專用于制作各種 CAB 壓縮與自解壓縮包的工具，那么用Iexpress偽裝免殺的木馬一般的殺毒軟件都不會(huì)報(bào)警！

“永不查殺的捆綁器”、“萬(wàn)能文件捆綁器”，這2款都是灰鴿子工作室推出的捆綁機(jī)。

4 插入捆綁

前面2種捆綁，對(duì)于有病毒防護(hù)知識(shí)的用戶來(lái)講，較容易被識(shí)破；因?yàn)殡m然木馬捆綁是一種常見(jiàn)的木馬植入手段，也給木馬提供了較好的偽裝，但是宿主文件的大小在捆綁木馬后會(huì)發(fā)生變化，尤其是一些體積較大的木馬，會(huì)使捆綁后的文件體積發(fā)生明顯變化，用戶只需稍微細(xì)心些就能識(shí)破。

于是插入捆綁出現(xiàn)了！其原理是：考慮到每個(gè)應(yīng)用程序內(nèi)部都有一定的空間可以被利用，這樣就可以保證被插入的程序“原封不動(dòng)”，顯然更具有迷惑性和欺騙性。

這類插入捆綁器軟件的代表有：Ek Chuah、RobinPE，等。

4.1 Ek Chuah

比如Ek Chuah，對(duì)應(yīng)于插入的不同位置，它提供了三種捆綁方式：1）“搜索多余空字節(jié)”；2）“擴(kuò)展最后一節(jié)表”；3）“加入新節(jié)表”。

另外，Ek Chuah采取的一些技術(shù)，比如：“入口點(diǎn)模糊EPO”，能很好地防止被殺毒軟件在入口點(diǎn)提取特征碼，從而不被殺毒軟件查殺；“文件體加密”則能把隨機(jī)取得的種子和待捆綁的文件進(jìn)行加密處理；“文件頭多態(tài)”通過(guò)增加多態(tài)模塊來(lái)防止殺毒軟件，即在文件頭入口以及異或部分，增加了多態(tài)模塊，如果你在設(shè)置中選擇了多態(tài)，會(huì)在這2個(gè)部分增加隨機(jī)的代碼（每次捆綁都不同），以達(dá)到防止一定程度的特征碼定位的目的。

4.2 RobinPE

使用RobinPE在正常程序中植入木馬前，首先要計(jì)算程序文件可利用的空間，將后門木馬植入縫隙（理論上講可以藏匿在任意的可執(zhí)行程序文件中）自然就不額外增加代碼塊，從而使被植入文件大小不發(fā)生變化。

當(dāng)然，考慮到木馬體積大小問(wèn)題，同時(shí)又不希望增加被植入文件的大小，那么，根據(jù)“計(jì)算空間”的大小，可以考慮“整體植入”（將木馬文件全部植入一個(gè).exe文件之中）；或“分體植入”（將一個(gè)文件拆解植入到多個(gè)宿主文件里，以保證木馬文件有足夠的存放空間），分體植入法，由于不僅不改變被植入文件的大小，而且木馬文件分散，特征碼更加隱蔽，幾乎完全可以躲過(guò)殺毒軟件的查殺！

比如將木馬植入Windows的重要系統(tǒng)文件explorer.exe，同時(shí)對(duì)服務(wù)端程序“Server.exe”進(jìn)行加殼處理，可躲過(guò)殺毒軟件的查殺，然后運(yùn)行工具RobinPE。

5 克隆捆綁

大名鼎鼎的GHOST，很多人喜歡用它來(lái)裝系統(tǒng)，網(wǎng)上也因此提供了多種版本的OS，比如：DeepIn、雨林木風(fēng)、蘿卜家園，等；樹(shù)大招風(fēng)吧，在這類.gho、.iso文件中，如果增加后門木馬，那么，只要下載了這個(gè).gho文件的用戶，都將不幸成為黑客的又一只“肉雞”！

比如官方推出的Ghost Explorer，就是一款不錯(cuò)的克隆捆綁機(jī)，只要事先準(zhǔn)備好木馬，之后就只需要將木馬服務(wù)端程序和Windows系統(tǒng)自帶的筆記本、注冊(cè)表、計(jì)算器等其中的任意一個(gè)系統(tǒng)程序文件進(jìn)行捆綁，然后用捆綁生成的文件替換掉.gho中原有的程序文件即可。此方法木馬隱藏很深，很難引起用戶的懷疑。

6 結(jié)束語(yǔ)

木馬偽裝方式多種，本文只歷數(shù)若干捆綁方式。所謂“道高一尺魔高一丈”，殺毒軟件技術(shù)在不斷升級(jí)的過(guò)程中，木馬的隱藏手段也在不斷進(jìn)步和發(fā)展；我們?nèi)沃囟肋h(yuǎn)！

參考文獻(xiàn)：

[1] 顧巧論.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].3版.北京：科學(xué)出版社，2011.

[2] 萬(wàn)立夫.木馬攻防全攻略[M].北京：電腦報(bào)電子音像出版社，2009.

[3] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].5版.北京：電子工業(yè)出版社，2009.