將病毒木馬等惡意程序和正常的文件捆綁在一起，并在自解壓包中添加運(yùn)行指令，當(dāng)用戶(hù)運(yùn)行此類(lèi)壓縮包，如果不仔細(xì)檢查的話，就會(huì)招致隱藏在其中的病毒的攻擊。

其實(shí)，對(duì)付這類(lèi)捆綁文件方法有很多，最簡(jiǎn)單的就是先使用WinRAR打開(kāi)該自解壓包，查看其內(nèi)容。當(dāng)然，病毒可能經(jīng)過(guò)免殺處理。或者會(huì)將惡意程序更名，或者為其起一個(gè)具有迷惑性質(zhì)的名稱(chēng)，來(lái)逃避用戶(hù)的檢查。對(duì)此，只需點(diǎn)擊WinRAR工具欄上的“注釋”按鈕，可以查看其包含的所有控制指令。如果發(fā)現(xiàn)“setop”之類(lèi)的危險(xiǎn)指令，就應(yīng)該引起我們的警覺(jué)，不要輕易運(yùn)行該自解壓包，而要對(duì)其采取進(jìn)一步檢測(cè)處理。不過(guò)，有些病毒比較狡猾，會(huì)采取隱藏注釋的手段，將可疑的指令信息隱藏起來(lái)，來(lái)麻痹用戶(hù)，進(jìn)而實(shí)現(xiàn)非法運(yùn)行的目的。

圖1 導(dǎo)出隱形注釋信息

例如，筆者不久之前就遇到了這種情況。當(dāng)從網(wǎng)上下載了一個(gè)感興趣的軟件后，發(fā)現(xiàn)其采用的是自解壓格式，出于安全性的考慮，使用WinRAR將其打開(kāi)，并沒(méi)有發(fā)現(xiàn)明顯問(wèn)題。打開(kāi)注釋窗口，發(fā)現(xiàn)里面只是簡(jiǎn)單的說(shuō)明信息。于是放心地雙擊該自解壓包，但是安裝的某款殺毒軟件卻提示有可疑程序活動(dòng)，查看其監(jiān)控日志，發(fā)現(xiàn)可疑程序是從該自解壓包中釋放出來(lái)的。毫無(wú)疑問(wèn)，該自解壓包一定存在問(wèn)題，當(dāng)運(yùn)行時(shí)會(huì)放出可疑程序，并利用內(nèi)置的控制指令激活該可疑程序。但是，在該自解壓包中的注釋信息并沒(méi)有看到任何控制指令。該可疑程序雖然經(jīng)過(guò)免殺處理，不過(guò)其活動(dòng)卻遭到了殺毒軟件主動(dòng)防御功能的攔截，并沒(méi)有對(duì)系統(tǒng)造成什么危害。經(jīng)過(guò)對(duì)該自解壓包的研究，終于發(fā)現(xiàn)了問(wèn)題所在。

原來(lái)，該自解壓包包含有隱形注釋信息，直接查看其注釋信息，只能看到一些無(wú)關(guān)緊要的說(shuō)明信息。其實(shí)，真正的控制指令處于隱藏狀態(tài)。要想查看這些隱藏注釋并不難，在WinRAR中提供了很多命令行參數(shù)，其中的“cw”開(kāi)關(guān)就是用來(lái)顯示隱藏注釋信息的。在CMD窗口中切換到WinRAR運(yùn)行路徑，默認(rèn)為“C:Program FilesWinRAR”文件夾。執(zhí)行“winrar cw keyiwenjian.exe zhushi.txt”命令，就可以 將“keyiwenjian.exe” 中的隱藏注釋信息保存到名為“zhushi.txt”的文件中（如圖1所示）。當(dāng)然，該指令導(dǎo)出的是ACSII格式的文本，如果執(zhí) 行“winrar keyiwenjian.exe—scuc zhushi.txt”命令，可以導(dǎo)出基于Unicode格式的文本文件。

圖2 查看真實(shí)的注釋信息

打開(kāi)“zhushi.txt”文件，就可以顯示完整的注釋信息了。從中可以看到，前兩行顯示的都是正常的說(shuō)明信息，但是第三行卻顯示了一個(gè)奇怪的字符，之后的內(nèi)容在正常的注釋窗口中是無(wú)法顯示的（如圖2所示）?？磥?lái)，這個(gè)奇怪的字符大有來(lái)頭。為了搞清其來(lái)歷，筆者運(yùn)行了WinHex這款強(qiáng)大的編輯軟件，在其主界面中點(diǎn)擊菜單“文件”-“打開(kāi)”項(xiàng)，導(dǎo)入該注釋文件。發(fā)現(xiàn)這個(gè)奇怪字符的ASCII編碼為1A，對(duì)應(yīng)的十進(jìn)制數(shù)值為26。因?yàn)樵撟址麨榉谴蛴∽址豢梢?jiàn)字符，所以使用Notepad2等工具將其打開(kāi)，就可以將其正確顯示出來(lái)了。

將該字符復(fù)制出來(lái)，之后使用WinRAR創(chuàng)建一個(gè)自解壓文件，并在注釋中添加一些控制指令，之后將該字符粘貼到其中某條指令的前面，然后完成該自解壓文件的創(chuàng)建。之后使用WinRAR打開(kāi)該自解壓文件，在注釋窗口中果然發(fā)現(xiàn)該行指令及其之后的內(nèi)容徹底消失了。當(dāng)運(yùn)行該自解壓文件時(shí)，會(huì)發(fā)現(xiàn)所有的內(nèi)置指令執(zhí)行的都很正確，并沒(méi)有因?yàn)樵撎厥庾址斐扇魏斡绊?，也就是說(shuō)，隱藏的控制指令同樣可以正常運(yùn)行。其實(shí)，您無(wú)需使用別的編輯工具，只需在WinRAR注釋信息編輯窗口中按下ALT鍵的同時(shí)，在小鍵盤(pán)上輸入26，同樣可以快速輸入該特殊字符。

根據(jù)以上分析不難看出，利用該特殊字符，就可以將之后的注釋信息隱藏起來(lái)。這種方法如果被病毒惡意利用，其危害是不言而喻的。因?yàn)橛脩?hù)看不到這些危險(xiǎn)的指令，所有很容易對(duì)其放松警惕，從而放心大膽地運(yùn)行病毒精心制作的自解壓包，隱藏在其中的病毒木馬文件就會(huì)乘機(jī)侵入系統(tǒng)。如果這些惡意程序經(jīng)過(guò)免殺處理，其危害性將變得更大。所以，當(dāng)我們?cè)跈z測(cè)可疑的自解壓文件時(shí)，不要被表面的假象所迷惑，而應(yīng)該對(duì)其進(jìn)行深入分析。利用WinRAR提供的“cw”命令行開(kāi)關(guān)，來(lái)檢測(cè)其中是否存在隱藏注釋信息，如果存在的話，就應(yīng)該小心應(yīng)對(duì)，將其刪除或者將其內(nèi)容全部釋放出來(lái)，將其中的可疑文件清除。

順便說(shuō)一下，當(dāng)我們從網(wǎng)上得到WinRAR格式的壓縮包時(shí)，如果仔細(xì)查看的話，會(huì)發(fā)現(xiàn)里面的內(nèi)容往往很雜，不僅有我們需要的文件，而且還包含其它一些垃圾文件，例如HTML、CMD、BAT、TXT、SCR、CHM、REG等類(lèi)型的文件，其中有些是正常的可用文件，而有些則是藏有貓膩的不法之徒。當(dāng)您不經(jīng)意間雙擊了這些文件，輕則系統(tǒng)配置遭到惡意篡改，重則掉入惡意網(wǎng)站招來(lái)病毒的襲擊。其實(shí)，我們完全可以利用WinRAR自帶的過(guò)濾功能，將無(wú)關(guān)的垃圾文件排除在外，而只顯示我們只要的正常文件。在WinRAR主界面中點(diǎn)擊菜單“選項(xiàng)”-“設(shè)置”項(xiàng)，在設(shè)置窗口中的“安全”面板中勾選“解壓時(shí)排除的文件類(lèi)型”項(xiàng)，在其下輸入需要排除的文件類(lèi)型，例如“*.html *.asp *.reg*.exe *.com *.pif *.scr*.reg *.cmd *.bat”等，不同的類(lèi)型之間以半角空格分割。點(diǎn)擊確定按鈕保存配置信息，以后在解壓RAR文件時(shí)，這些文件類(lèi)型就會(huì)自動(dòng)被排除在外了。

當(dāng)然，上述方法僅僅是將不需要的文件排除在外，如果您想將RAR壓縮包中的垃圾文件徹底清除的話，可以利用WinRAR自帶的命令行參數(shù)來(lái)完成。首先在桌面上右擊“我的電腦”圖標(biāo)，在彈出窗口中點(diǎn)擊“屬性”項(xiàng)，在系統(tǒng)屬性窗口中的“高級(jí)”面板中點(diǎn)擊“環(huán)境變量”按鈕，在彈出窗口中的“系統(tǒng)變量”欄中雙擊“Path”項(xiàng)，在彈出窗口中的“變量值”欄末尾輸入“；”，之后添加WinRAR的運(yùn)行路徑，例如“C:Program FilesWinRAR”（不帶引號(hào)）。之后點(diǎn)擊確定按鈕保存路徑信息。使用記事本建立一個(gè)后綴為“.cmd”的文件，例如其名稱(chēng)為“clear.cmd”。其內(nèi)容為“FOR/r %%v IN (*.rar) DO rar d "%%v" *.html *.asp *.reg*.exe *.com *.pif *.scr *.reg-r”。注意，其中的垃圾文件信息需要根據(jù)實(shí)際情況而定。之后將“clear.cmd”文件放置到存儲(chǔ)RAR文件的目錄中，運(yùn)行該“clear.cmd”文件，就可以將該路徑下所有RAR包中的預(yù)設(shè)垃圾信息全部清除。