浅析木马捆绑伪装多种方式.docVIP

浅析木马捆绑伪装多种方式 　　摘要：介绍了木马捆绑伪装的几种方式，并分析了各种方式的原理及其优劣。 　　关键词：文件捆绑；常规捆绑；压缩捆绑；插入捆绑；克隆捆绑 　　中图分类号：TP39 文献标识码：A 文章编号：1009-3044（2012）30-7214-02 　　木马之所以狡猾，是因为它除了能躲避杀毒软件的查杀外，还能诱骗用户运行。木马伪装，以捆绑方式最为常见，将恶意程序和正常的文件进行捆绑，是黑客最常用、最可行、最简单的方式，当受害者运行这些捆绑了恶意程序的文件后，电脑就在不知不觉中中招了！而且，几乎所有格式的文件，都能捆绑上木马，包括很多人认为不会带病毒的文件，比如：电影文件.rm、图片格式文件.jpg、等，都无一幸免！其中电影文件.rmvb一般是捆绑了弹窗广告，而大多数广告链接网站都有毒！所以去除广告链接，就安全了。 　　如果我们能对木马的捆绑伪装方式有充分地了解，知???知彼，那么就可以更好地保护我们的计算机系统不受侵害。 　　1 文件捆绑 　　文件捆绑，当然需要捆绑器软件，捆绑器的使用一般分为以下几个步骤： 　　1） 添加捆绑文件，包括要捆绑的恶意程序和被捆绑的正常文件，比如：各种图片、迷你小游戏、FLASH动画文件，等； 　　2）设置捆绑的属性并选择捆绑后的文件图标； 　　3）合并生成相应的文件。 　　读者可以上网随意下个捆绑机软件，比如“EXE捆绑机”软件，可以将两个可执行文件（.exe文件）捆绑成一个文件，运行捆绑后的文件等于同时运行了两个文件；它会自动更改图标，使捆绑后的文件与捆绑前的文件图标一样。 　　文件捆绑，具体来讲，又分为常规捆绑、压缩捆绑、插入捆绑、克隆捆绑，等多种方式。下面，本文将分析目前常见的几种木马捆绑伪装方式，从而让大家更好地了解木马运行的整个流程。 　　2 常规捆绑 　　常规捆绑比较简单，比如，“南城剑盟捆绑器”，功能非常专业强大，具有对捆绑文件修改属性、日期时间，图标提取、修改图标、释放路径配置等功能。该软件使用中应注意文件添加顺序，一般先添加被捆绑的正常文件，最后添加要捆绑的恶意程序，这样才能使之具有更好的迷惑性和隐秘性。 　　3 压缩捆绑 　　压缩捆绑是非常简单易行的木马伪装方式，很多菜鸟级黑客首次制作的恶意软件包就是采取该种方式伪装；压缩捆绑机软件有： 　　1）“WINRAR”软件！大名鼎鼎，简单，好用； 　　2）WINDOWS系统自带的IExpress软件； 　　3）其他，比如：“永不查杀的捆绑器”、“万能文件捆绑器”，等。 　　注： 　　WINRAR一般压缩成自解压文件包，为了在用户打开自解压包时能自动运行其中的恶意程序，一般还需修改注释、用宏汇编工具“C32Asm”等，对自解压包进行修改； 　　Iexpress的优势：因为是Windows系统自带的专用于制作各种 CAB 压缩与自解压缩包的工具，那么用Iexpress伪装免杀的木马一般的杀毒软件都不会报警！ 　　“永不查杀的捆绑器”、“万能文件捆绑器”，这2款都是灰鸽子工作室推出的捆绑机。 　　4 插入捆绑 　　前面2种捆绑，对于有病毒防护知识的用户来讲，较容易被识破；因为虽然木马捆绑是一种常见的木马植入手段，也给木马提供了较好的伪装，但是宿主文件的大小在捆绑木马后会发生变化，尤其是一些体积较大的木马，会使捆绑后的文件体积发生明显变化，用户只需稍微细心些就能识破。 　　于是插入捆绑出现了！其原理是：考虑到每个应用程序内部都有一定的空间可以被利用，这样就可以保证被插入的程序“原封不动”，显然更具有迷惑性和欺骗性。 　　这类插入捆绑器软件的代表有：Ek Chuah、RobinPE，等。 　　4.1 Ek Chuah 　　比如Ek Chuah，对应于插入的不同位置，它提供了三种捆绑方式：1）“有哪些信誉好的足球投注网站多余空字节”；2）“扩展最后一节表”；3）“加入新节表”。 　　另外，Ek Chuah采取的一些技术，比如：“入口点模糊EPO”，能很好地防止被杀毒软件在入口点提取特征码，从而不被杀毒软件查杀；“文件体加密”则能把随机取得的种子和待捆绑的文件进行加密处理；“文件头多态”通过增加多态模块来防止杀毒软件，即在文件头入口以及异或部分，增加了多态模块，如果你在设置中选择了多态，会在这2个部分增加随机的代码（每次捆绑都不同），以达到防止一定程度的特征码定位的目的。 　　4.2 RobinPE 　　使用RobinPE在正常程序中植入木马前，首先要计算程序文件可利用的空间，将后门木马植入缝隙（理论上讲可以藏匿在任意的可执行程序文件中）自然就不额外增加代码块，从而使被植入文件大小不发生变化。 　　当然，考虑到木马体积大小问题，同时又不希望增加被植入文件的大小，那么，根据“计算空间”的大小，可以考虑“整体植入”（将木马文件全部植入一个.exe文件之