王钟是个游戏迷,喜欢各种新游戏,前几天别人从网上给他传了一个EXE文件,号称是个好玩的小游戏。游戏的确不错,玩了两天的王钟才发现自己的QQ账号被盗了,后来一打听,原来这个游戏是被捆绑了木马,难道运行一个文件但执行的却是两个文件吗?
　　
　　王钟遇到的肯定就是被捆绑了木马的文件,这里我们不说那些高级木马已经使用的新技术,单单只介绍最传统的捆绑方法,就足以让你大开眼界……
　　传统捆绑方式,你可以理解为“寄居蟹”法。说出来很简单——用软件(如UltraEdit)以二进制形式打开A.exe和B.exe,然后将B.exe的全部数据附加到A.exe末尾,这样A.exe执行的时候,B.exe就会同时执行。很像“寄居蟹”的行为方式吧?
　　要识破上面的捆绑方式很容易,所有EXE文件的开头都是MZ,所以只要用UltraEdit这类的工具打开EXE文件,搜索MZ,如果找到两个或两个以上,肯定这个文件就被捆绑了,如果是别人传的肯定就是有猫腻了……网上有很多识别“捆绑文件的检测工具”,它们就是利用了这个原理,只是现在使用这种技术捆绑的几乎很少有了,但是我们平常需要一个文件实现两个功能时,倒不妨试试这个方法,既简单又快捷。
　　这里也给大家提供一款捆绑文件的小工具,可以从http://work.newhua.com/cfan/200922/bwm.rar下载工具,运行后,使用F5键添加运行的程序,同时去除“选项”下的“运行后溶解”项的勾选(见图)(注意,部分杀毒软件会把该程序识别为病毒),最后按F9创建即可。
　　当然捆绑文件还有很多方法,比如利用资源包,利用编译器,甚至就是传统的方法,经过加密后也会让你看不出来个所以然,唉,没办法,谁让Windows设计之初就不识“双黄蛋”呢?总之别人传过来的EXE文件一定要小心,千万别随便就运行……