浅谈文件捆绑技术方式(图)
互联网 发布时间:2008-10-08 21:28:31 作者:佚名 
我要评论
我要评论随着恶意代码的发展越来越广泛,以及其强大的破坏性和更多样的传播方式,给人们带来更多的危害。叶子在前面的文章中已经跟大家谈过恶意代码的基本概念以及对其的研究分析流程。在本篇文章中叶子将给大家介绍一下恶意代码的传播方式之一的捆绑技术,以及常见的Winrar自解压
随着恶意代码的发展越来越广泛,以及其强大的破坏性和更多样的传播方式,给人们带来更多的危害。叶子在前面的文章中已经跟大家谈过恶意代码的基本概念以及对其的研究分析流程。在本篇文章中叶子将给大家介绍一下恶意代码的传播方式之一的捆绑技术,以及常见的Winrar自解压捆绑技术的实现过程。
捆绑技术是将两个或两个以上的文件捆绑在一起成为一个可执行文件,在执行这个文件的时候,捆绑在里面的文件都被执行。需要捆绑在一起的文件,可以是相同的文件格式,也可以是不同的文件格式。捆绑技术被黑客们广泛应用在互联网的恶意代码传播过程。通过发送一些用户感兴趣的文件,其中包含恶意软件的程序。当用户看到感兴趣的文件,点击后则感染相应的恶意代码。黑客们可以利用恶意代码来完成一些黑色经济的收入。
目前网络上流行的捆绑技术和方式主要有下面几种情况:
◆多文件捆绑。
捆绑技术中最简单的捆绑方式,也是最流行的捆绑技术实现方式之一。文件捆绑也就是将A.exe文件(正常文件)和B.exe文件(恶意代码)捆绑成C.exe文件。当用户点击C.exe文件时,用户看到的是A.exe文件的执行结果,而B.exe文件则在后台悄悄执行。一个Win32下正常的文件中包含以文件MZ开头,DOS文件头后面的PE头以PE\0\0开头。检查是否被捆绑多文件,则可以通过UltraEdit类的工具打开目标文件搜索关键字MZ或者PE。如果找到两个或者两个以上,则表明此文件一定把捆绑了其它的文件。叶子将在后面的实例中介绍如何实现文件捆绑的操作过程。
◆资源融合捆绑。
了解Windows文件中PE结构的人都知道资源是EXE中的一个特殊的区段。这段区域可以用来包含EXE调用的资源信息等相关内容。而我们可以利用BeginUpdateResource 、UpdateResource、EndUpdateResource的API函数实现对资源内容的更新替换。编程人员只需先写一个包裹捆绑文件的头文件,文件中只需一段释放资源的代码。而捆绑器用的时候先将头文件释放出来,然后调用以上的三个API函数将待捆绑的文件更新到这个头文件中即完成了捆绑技术的实现。
◆漏洞利用捆绑
目前比较流行的捆绑技术之一,利用word、excel、flash等一些应用产品中的安全漏洞,通过对漏洞的利用,然后调用恶意代码进行执行。例如当一些研究人员发现word产品的安全漏洞后,黑客编写漏洞利用程序,并把恶意代码植入word的宿主文件中。当用户打开恶意的word文件时,word漏洞中的程序通过Shellcode调用恶意代码,并执行之。
除了这几种捆绑技术之外,当然还有更多的其它捆绑技术的实现方式。不过叶子的时间精力有限,无法做更深入的研究。如果有同道之人做了更深入的研究,希望也能发布出来进行共同进步。
接下来,叶子将通过一个实例进行讲解Winrar的捆绑技术实现操作过程。
工具环境:
WinRAR:解压缩工具。
Quick Batch File Compiler:快速批量文件编译程序
File1.exe(hfs2.exe):正常文件
File2.exe(RCBF_03031406.exe):木马
使用WinRAR程序和QBFC程序实现木马捆绑过程:
◆运行Quick Batch File Compiler,输入hfs2.exe,回车,再输入RCBF_03031406.exe,如图所示:
◆点击“Project”->“Options”,设置“Ghost Application”
◆点击“Build”,保存文件为“binder.exe”
捆绑技术是将两个或两个以上的文件捆绑在一起成为一个可执行文件,在执行这个文件的时候,捆绑在里面的文件都被执行。需要捆绑在一起的文件,可以是相同的文件格式,也可以是不同的文件格式。捆绑技术被黑客们广泛应用在互联网的恶意代码传播过程。通过发送一些用户感兴趣的文件,其中包含恶意软件的程序。当用户看到感兴趣的文件,点击后则感染相应的恶意代码。黑客们可以利用恶意代码来完成一些黑色经济的收入。
目前网络上流行的捆绑技术和方式主要有下面几种情况:
◆多文件捆绑。
捆绑技术中最简单的捆绑方式,也是最流行的捆绑技术实现方式之一。文件捆绑也就是将A.exe文件(正常文件)和B.exe文件(恶意代码)捆绑成C.exe文件。当用户点击C.exe文件时,用户看到的是A.exe文件的执行结果,而B.exe文件则在后台悄悄执行。一个Win32下正常的文件中包含以文件MZ开头,DOS文件头后面的PE头以PE\0\0开头。检查是否被捆绑多文件,则可以通过UltraEdit类的工具打开目标文件搜索关键字MZ或者PE。如果找到两个或者两个以上,则表明此文件一定把捆绑了其它的文件。叶子将在后面的实例中介绍如何实现文件捆绑的操作过程。
◆资源融合捆绑。
了解Windows文件中PE结构的人都知道资源是EXE中的一个特殊的区段。这段区域可以用来包含EXE调用的资源信息等相关内容。而我们可以利用BeginUpdateResource 、UpdateResource、EndUpdateResource的API函数实现对资源内容的更新替换。编程人员只需先写一个包裹捆绑文件的头文件,文件中只需一段释放资源的代码。而捆绑器用的时候先将头文件释放出来,然后调用以上的三个API函数将待捆绑的文件更新到这个头文件中即完成了捆绑技术的实现。
◆漏洞利用捆绑
目前比较流行的捆绑技术之一,利用word、excel、flash等一些应用产品中的安全漏洞,通过对漏洞的利用,然后调用恶意代码进行执行。例如当一些研究人员发现word产品的安全漏洞后,黑客编写漏洞利用程序,并把恶意代码植入word的宿主文件中。当用户打开恶意的word文件时,word漏洞中的程序通过Shellcode调用恶意代码,并执行之。
除了这几种捆绑技术之外,当然还有更多的其它捆绑技术的实现方式。不过叶子的时间精力有限,无法做更深入的研究。如果有同道之人做了更深入的研究,希望也能发布出来进行共同进步。
接下来,叶子将通过一个实例进行讲解Winrar的捆绑技术实现操作过程。
工具环境:
WinRAR:解压缩工具。
Quick Batch File Compiler:快速批量文件编译程序
File1.exe(hfs2.exe):正常文件
File2.exe(RCBF_03031406.exe):木马
使用WinRAR程序和QBFC程序实现木马捆绑过程:
◆运行Quick Batch File Compiler,输入hfs2.exe,回车,再输入RCBF_03031406.exe,如图所示:
◆点击“Project”->“Options”,设置“Ghost Application”
◆点击“Build”,保存文件为“binder.exe”
相关文章
- 很多游戏服务器租用的时候会出现一些封UDP的字眼,网上一些文章也说UDP协议不可靠!为什么要封UDP呢?既然不可靠,为什么有些人还要使用它呢?今天与你们分享一下UDP,希望2024-05-07
- 魔兽世界服务器被攻击在目前来说也是比较常见的,同行竞争激烈,在官服开放时也遇到过DDOS攻击,要是飞飞没记错是在22年9月14日,从刚开始的身份验证服务器出现问题,到确2023-07-17
- 这篇文章主要分享一下五大免费企业网络入侵检测(IDS)工具,当前企业对于网络安全越来越重视,那么后期可能就需要大家多多关注一些安全工具的使用于检测2019-12-01
网络协议是什么呢?网络协议是网络中计算机或设备之间进行通信的一系列规则集合。本文中小编介绍的是网络协议和安全威胁的关系,需要的朋友不妨阅读本文了解一下2019-04-02
DDoS攻击是由DoS攻击转化的,这项攻击的原理以及表现形式是怎样的呢?要如何的进行防御呢?本文中将会有详细的介绍,需要的朋友不妨阅读本文进行参考2019-01-15
本文中介绍的是基于Web攻击的方式发现并攻击物联网设备,感兴趣的朋友不妨阅读本文进行了解2019-01-11
起首说说挟制路由器是什么意思,路由器挟制平日指的是,开启了无线网络功效的无线路由器,攻击者经由过程破解无线暗码衔接上无线网后,再登录路由治理界面来节制全部无线网2018-05-16
大势至共享文件监控软件、共享文件权限管理软件主控端与客户端的连接设
这篇文章主要介绍了大势至共享文件监控软件、共享文件权限管理软件主控端与客户端的连接设置方法详解,,小编觉得还是挺不错的,具有一定借鉴价值,下面就来和小编一起看看2018-01-25
详细介绍sd卡加密软件的选择以及给sd卡设置密码、给sd卡加密
这篇文章主要介绍了详细介绍sd卡加密软件的选择以及给sd卡设置密码、给sd卡加密,如何保护sd卡文件的安全,如何给SD卡设置密码、如何给SD卡加密,下面就跟小编一起来看看吧2018-01-19
server2008共享设置、服务器共享文件设置、服务器设置共享文件夹的方法
这篇文章主要介绍了server2008共享设置、服务器共享文件设置、服务器设置共享文件夹的方法详细介绍,保护服务器共享文件设置访问权限,让每个部门只访问自己的共享文件等,2018-01-19
最新评论