A. 怎麼將圖片和文件捆綁在一起
是什麼文件???
EXE??如果是那不行(木馬嗎?)
目前網路上流行的捆綁技術和方式主要有下面幾種情況:
◆多文件捆綁。
捆綁技術中最簡單的捆綁方式,也是最流行的捆綁技術實現方式之一。文件捆綁也就是將A.exe文件(正常文件)和B.exe文件(惡意代碼)捆綁成C.exe文件。當用戶點擊C.exe文件時,用戶看到的是A.exe文件的執行結果,而B.exe文件則在後台悄悄執行。一個Win32下正常的文件中包含以文件MZ開頭,DOS文件頭後面的PE頭以PE\0\0開頭。檢查是否被捆綁多文件,則可以通過UltraEdit類的工具打開目標文件搜索關鍵字MZ或者PE。如果找到兩個或者兩個以上,則表明此文件一定把捆綁了其它的文件。葉子將在後面的實例中介紹如何實現文件捆綁的操作過程。
◆資源融合捆綁。
了解Windows文件中PE結構的人都知道資源是EXE中的一個特殊的區段。這段區域可以用來包含EXE調用的資源信息等相關內容。而我們可以利用BeginUpdateResource 、UpdateResource、EndUpdateResource的API函數實現對資源內容的更新替換。編程人員只需先寫一個包裹捆綁文件的頭文件,文件中只需一段釋放資源的代碼。而捆綁器用的時候先將頭文件釋放出來,然後調用以上的三個API函數將待捆綁的文件更新到這個頭文件中即完成了捆綁技術的實現。
◆漏洞利用捆綁
目前比較流行的捆綁技術之一,利用word、excel、flash等一些應用產品中的安全漏洞,通過對漏洞的利用,然後調用惡意代碼進行執行。例如當一些研究人員發現word產品的安全漏洞後,黑客編寫漏洞利用程序,並把惡意代碼植入word的宿主文件中。當用戶打開惡意的word文件時,word漏洞中的程序通過Shellcode調用惡意代碼,並執行之。
除了這幾種捆綁技術之外,當然還有更多的其它捆綁技術的實現方式
工具環境:
WinRAR:解壓縮工具。
Quick Batch File Compiler:快速批量文件編譯程序
File1.exe(hfs2.exe):正常文件
File2.exe(RCBF_03031406.exe):木馬
使用WinRAR程序和QBFC程序實現木馬捆綁過程:
◆運行Quick Batch File Compiler,輸入hfs2.exe,回車,再輸入RCBF_03031406.exe,如圖所示:
◆點擊「Project」->「Options」,設置「Ghost Application」
◆點擊「Build」,保存文件為「binder.exe」
◆創建WinRAR自解壓文件,包含「binder.exe」、「hfs2.exe」、「RCBF_03031406.exe」文件。選擇這三個文件,點擊「add to archive」。