浅析木马捆绑伪装的多种方式

admin管理员组

文章数量:1530977

2024年5月31日发(作者：)

龙源期刊网

浅析木马捆绑伪装的多种方式

作者：于海雯

来源：《电脑知识与技术》2012年第30期

摘要：介绍了木马捆绑伪装的几种方式，并分析了各种方式的原理及其优劣。

关键词：文件捆绑；常规捆绑；压缩捆绑；插入捆绑；克隆捆绑

中图分类号：TP39 文献标识码：A 文章编号：1009-3044（2012）30-7214-02

木马之所以狡猾，是因为它除了能躲避杀毒软件的查杀外，还能诱骗用户运行。木马伪

装，以捆绑方式最为常见，将恶意程序和正常的文件进行捆绑，是黑客最常用、最可行、最简

单的方式，当受害者运行这些捆绑了恶意程序的文件后，电脑就在不知不觉中中招了！而且，

几乎所有格式的文件，都能捆绑上木马，包括很多人认为不会带病毒的文件，比如：电影文

件.rm、图片格式文件.jpg、等，都无一幸免！其中电影文件.rmvb一般是捆绑了弹窗广告，而

大多数广告链接网站都有毒！所以去除广告链接，就安全了。

如果我们能对木马的捆绑伪装方式有充分地了解，知己知彼，那么就可以更好地保护我们

的计算机系统不受侵害。

1 文件捆绑

文件捆绑，当然需要捆绑器软件，捆绑器的使用一般分为以下几个步骤：

1） 添加捆绑文件，包括要捆绑的恶意程序和被捆绑的正常文件，比如：各种图片、迷你

小游戏、FLASH动画文件，等；

2）设置捆绑的属性并选择捆绑后的文件图标；

3）合并生成相应的文件。

读者可以上网随意下个捆绑机软件，比如“EXE捆绑机”软件，可以将两个可执行文件

（.exe文件）捆绑成一个文件，运行捆绑后的文件等于同时运行了两个文件；它会自动更改图

标，使捆绑后的文件与捆绑前的文件图标一样。

文件捆绑，具体来讲，又分为常规捆绑、压缩捆绑、插入捆绑、克隆捆绑，等多种方式。

下面，本文将分析目前常见的几种木马捆绑伪装方式，从而让大家更好地了解木马运行的整个

流程。

2 常规捆绑

龙源期刊网

常规捆绑比较简单，比如，“南城剑盟捆绑器”，功能非常专业强大，具有对捆绑文件修改

属性、日期时间，图标提取、修改图标、释放路径配置等功能。该软件使用中应注意文件添加

顺序，一般先添加被捆绑的正常文件，最后添加要捆绑的恶意程序，这样才能使之具有更好的

迷惑性和隐秘性。

3 压缩捆绑

压缩捆绑是非常简单易行的木马伪装方式，很多菜鸟级黑客首次制作的恶意软件包就是采

取该种方式伪装；压缩捆绑机软件有：

1）“WINRAR”软件！大名鼎鼎，简单，好用；

2）WINDOWS系统自带的IExpress软件；

3）其他，比如：“永不查杀的捆绑器”、“万能文件捆绑器”，等。

注：

WINRAR一般压缩成自解压文件包，为了在用户打开自解压包时能自动运行其中的恶意

程序，一般还需修改注释、用宏汇编工具“C32Asm”等，对自解压包进行修改；

Iexpress的优势：因为是Windows系统自带的专用于制作各种 CAB 压缩与自解压缩包的

工具，那么用Iexpress伪装免杀的木马一般的杀毒软件都不会报警！

“永不查杀的捆绑器”、“万能文件捆绑器”，这2款都是灰鸽子工作室推出的捆绑机。

4 插入捆绑

前面2种捆绑，对于有病毒防护知识的用户来讲，较容易被识破；因为虽然木马捆绑是一

种常见的木马植入手段，也给木马提供了较好的伪装，但是宿主文件的大小在捆绑木马后会发

生变化，尤其是一些体积较大的木马，会使捆绑后的文件体积发生明显变化，用户只需稍微细

心些就能识破。

于是插入捆绑出现了！其原理是：考虑到每个应用程序内部都有一定的空间可以被利用，

这样就可以保证被插入的程序“原封不动”，显然更具有迷惑性和欺骗性。

这类插入捆绑器软件的代表有：Ek Chuah、RobinPE，等。

4.1 Ek Chuah

比如Ek Chuah，对应于插入的不同位置，它提供了三种捆绑方式：1）“搜索多余空字

节”；2）“扩展最后一节表”；3）“加入新节表”。

龙源期刊网

另外，Ek Chuah采取的一些技术，比如：“入口点模糊EPO”，能很好地防止被杀毒软件

在入口点提取特征码，从而不被杀毒软件查杀；“文件体加密”则能把随机取得的种子和待捆绑

的文件进行加密处理；“文件头多态”通过增加多态模块来防止杀毒软件，即在文件头入口以及

异或部分，增加了多态模块，如果你在设置中选择了多态，会在这2个部分增加随机的代码

（每次捆绑都不同），以达到防止一定程度的特征码定位的目的。

4.2 RobinPE

使用RobinPE在正常程序中植入木马前，首先要计算程序文件可利用的空间，将后门木马

植入缝隙（理论上讲可以藏匿在任意的可执行程序文件中）自然就不额外增加代码块，从而使

被植入文件大小不发生变化。

当然，考虑到木马体积大小问题，同时又不希望增加被植入文件的大小，那么，根据“计

算空间”的大小，可以考虑“整体植入”（将木马文件全部植入一个.exe文件之中）；或“分体植

入”（将一个文件拆解植入到多个宿主文件里，以保证木马文件有足够的存放空间），分体植

入法，由于不仅不改变被植入文件的大小，而且木马文件分散，特征码更加隐蔽，几乎完全可

以躲过杀毒软件的查杀！

比如将木马植入Windows的重要系统文件，同时对服务端程序“”进

行加壳处理，可躲过杀毒软件的查杀，然后运行工具RobinPE。

5 克隆捆绑

大名鼎鼎的GHOST，很多人喜欢用它来装系统，网上也因此提供了多种版本的OS，比

如：DeepIn、雨林木风、萝卜家园，等；树大招风吧，在这类.gho、.iso文件中，如果增加后

门木马，那么，只要下载了这个.gho文件的用户，都将不幸成为黑客的又一只“肉鸡”！

比如官方推出的Ghost Explorer，就是一款不错的克隆捆绑机，只要事先准备好木马，之

后就只需要将木马服务端程序和Windows系统自带的笔记本、注册表、计算器等其中的任意

一个系统程序文件进行捆绑，然后用捆绑生成的文件替换掉.gho中原有的程序文件即可。此方

法木马隐藏很深，很难引起用户的怀疑。

6 结束语

木马伪装方式多种，本文只历数若干捆绑方式。所谓“道高一尺魔高一丈”，杀毒软件技术

在不断升级的过程中，木马的隐藏手段也在不断进步和发展；我们任重而道远！

参考文献：

[1] 顾巧论.计算机网络安全[M].3版.北京：科学出版社，2011.

龙源期刊网

[2] 万立夫.木马攻防全攻略[M].北京：电脑报电子音像出版社，2009.

本文标签： 捆绑文件木马方式