淺析木馬捆綁偽裝的多種方式

于海雯

摘要：介紹了木馬捆綁偽裝的幾種方式，并分析了各種方式的原理及其優(yōu)劣。

關鍵詞：文件捆綁；常規(guī)捆綁；壓縮捆綁；插入捆綁；克隆捆綁

中圖分類號：TP39 文獻標識碼：A文章編號：1009-3044（2012）30-7214-02

木馬之所以狡猾，是因為它除了能躲避殺毒軟件的查殺外，還能誘騙用戶運行。木馬偽裝，以捆綁方式最為常見，將惡意程序和正常的文件進行捆綁，是黑客最常用、最可行、最簡單的方式，當受害者運行這些捆綁了惡意程序的文件后，電腦就在不知不覺中中招了！而且，幾乎所有格式的文件，都能捆綁上木馬，包括很多人認為不會帶病毒的文件，比如：電影文件.rm、圖片格式文件.jpg、等，都無一幸免！其中電影文件.rmvb一般是捆綁了彈窗廣告，而大多數(shù)廣告鏈接網(wǎng)站都有毒！所以去除廣告鏈接，就安全了。

如果我們能對木馬的捆綁偽裝方式有充分地了解，知己知彼，那么就可以更好地保護我們的計算機系統(tǒng)不受侵害。

1 文件捆綁

文件捆綁，當然需要捆綁器軟件，捆綁器的使用一般分為以下幾個步驟：

1） 添加捆綁文件，包括要捆綁的惡意程序和被捆綁的正常文件，比如：各種圖片、迷你小游戲、FLASH動畫文件，等；

2）設置捆綁的屬性并選擇捆綁后的文件圖標；

3）合并生成相應的文件。

讀者可以上網(wǎng)隨意下個捆綁機軟件，比如“EXE捆綁機”軟件，可以將兩個可執(zhí)行文件（.exe文件）捆綁成一個文件，運行捆綁后的文件等于同時運行了兩個文件；它會自動更改圖標，使捆綁后的文件與捆綁前的文件圖標一樣。

文件捆綁，具體來講，又分為常規(guī)捆綁、壓縮捆綁、插入捆綁、克隆捆綁，等多種方式。下面，本文將分析目前常見的幾種木馬捆綁偽裝方式，從而讓大家更好地了解木馬運行的整個流程。

2 常規(guī)捆綁

常規(guī)捆綁比較簡單，比如，“南城劍盟捆綁器”，功能非常專業(yè)強大，具有對捆綁文件修改屬性、日期時間，圖標提取、修改圖標、釋放路徑配置等功能。該軟件使用中應注意文件添加順序，一般先添加被捆綁的正常文件，最后添加要捆綁的惡意程序，這樣才能使之具有更好的迷惑性和隱秘性。

3 壓縮捆綁

壓縮捆綁是非常簡單易行的木馬偽裝方式，很多菜鳥級黑客首次制作的惡意軟件包就是采取該種方式偽裝；壓縮捆綁機軟件有：

1）“WINRAR”軟件！大名鼎鼎，簡單，好用；

2）WINDOWS系統(tǒng)自帶的IExpress軟件；

3）其他，比如：“永不查殺的捆綁器”、“萬能文件捆綁器”，等。

注：

WINRAR一般壓縮成自解壓文件包，為了在用戶打開自解壓包時能自動運行其中的惡意程序，一般還需修改注釋、用宏匯編工具“C32Asm”等，對自解壓包進行修改；

Iexpress的優(yōu)勢：因為是Windows系統(tǒng)自帶的專用于制作各種 CAB 壓縮與自解壓縮包的工具，那么用Iexpress偽裝免殺的木馬一般的殺毒軟件都不會報警！

“永不查殺的捆綁器”、“萬能文件捆綁器”，這2款都是灰鴿子工作室推出的捆綁機。

4 插入捆綁

前面2種捆綁，對于有病毒防護知識的用戶來講，較容易被識破；因為雖然木馬捆綁是一種常見的木馬植入手段，也給木馬提供了較好的偽裝，但是宿主文件的大小在捆綁木馬后會發(fā)生變化，尤其是一些體積較大的木馬，會使捆綁后的文件體積發(fā)生明顯變化，用戶只需稍微細心些就能識破。

于是插入捆綁出現(xiàn)了！其原理是：考慮到每個應用程序內部都有一定的空間可以被利用，這樣就可以保證被插入的程序“原封不動”，顯然更具有迷惑性和欺騙性。

這類插入捆綁器軟件的代表有：Ek Chuah、RobinPE，等。

4.1 Ek Chuah

比如Ek Chuah，對應于插入的不同位置，它提供了三種捆綁方式：1）“搜索多余空字節(jié)”；2）“擴展最后一節(jié)表”；3）“加入新節(jié)表”。

另外，Ek Chuah采取的一些技術，比如：“入口點模糊EPO”，能很好地防止被殺毒軟件在入口點提取特征碼，從而不被殺毒軟件查殺；“文件體加密”則能把隨機取得的種子和待捆綁的文件進行加密處理；“文件頭多態(tài)”通過增加多態(tài)模塊來防止殺毒軟件，即在文件頭入口以及異或部分，增加了多態(tài)模塊，如果你在設置中選擇了多態(tài)，會在這2個部分增加隨機的代碼（每次捆綁都不同），以達到防止一定程度的特征碼定位的目的。

4.2 RobinPE

使用RobinPE在正常程序中植入木馬前，首先要計算程序文件可利用的空間，將后門木馬植入縫隙（理論上講可以藏匿在任意的可執(zhí)行程序文件中）自然就不額外增加代碼塊，從而使被植入文件大小不發(fā)生變化。

當然，考慮到木馬體積大小問題，同時又不希望增加被植入文件的大小，那么，根據(jù)“計算空間”的大小，可以考慮“整體植入”（將木馬文件全部植入一個.exe文件之中）；或“分體植入”（將一個文件拆解植入到多個宿主文件里，以保證木馬文件有足夠的存放空間），分體植入法，由于不僅不改變被植入文件的大小，而且木馬文件分散，特征碼更加隱蔽，幾乎完全可以躲過殺毒軟件的查殺！

比如將木馬植入Windows的重要系統(tǒng)文件explorer.exe，同時對服務端程序“Server.exe”進行加殼處理，可躲過殺毒軟件的查殺，然后運行工具RobinPE。

5 克隆捆綁

大名鼎鼎的GHOST，很多人喜歡用它來裝系統(tǒng)，網(wǎng)上也因此提供了多種版本的OS，比如：DeepIn、雨林木風、蘿卜家園，等；樹大招風吧，在這類.gho、.iso文件中，如果增加后門木馬，那么，只要下載了這個.gho文件的用戶，都將不幸成為黑客的又一只“肉雞”！

比如官方推出的Ghost Explorer，就是一款不錯的克隆捆綁機，只要事先準備好木馬，之后就只需要將木馬服務端程序和Windows系統(tǒng)自帶的筆記本、注冊表、計算器等其中的任意一個系統(tǒng)程序文件進行捆綁，然后用捆綁生成的文件替換掉.gho中原有的程序文件即可。此方法木馬隱藏很深，很難引起用戶的懷疑。

6 結束語

木馬偽裝方式多種，本文只歷數(shù)若干捆綁方式。所謂“道高一尺魔高一丈”，殺毒軟件技術在不斷升級的過程中，木馬的隱藏手段也在不斷進步和發(fā)展；我們任重而道遠！

參考文獻：

[1] 顧巧論.計算機網(wǎng)絡安全[M].3版.北京：科學出版社，2011.

[2] 萬立夫.木馬攻防全攻略[M].北京：電腦報電子音像出版社，2009.

[3] 謝希仁.計算機網(wǎng)絡[M].5版.北京：電子工業(yè)出版社，2009.