浅谈装订文件(绘图)技术
点评:作为恶意代码的发展越来越广泛,其强大的破坏性和更多样化的沟通方式,它给人们带来更大的伤害。在前面的文章中,树叶已经告诉你关于恶意代码的基本概念和研究分析的过程中,在这篇文章中,叶会给你的捆绑技术,是一种传播恶意代码的方法介绍,和常见的WinRAR自解压随着恶意代码越来越广泛,其强大的破坏性和更多样化的沟通方式,它给人们带来更大的伤害。在前面的文章中,树叶已经告诉你关于恶意代码的基本概念和研究分析的过程中,在这篇文章中,我们将介绍捆绑技术恶意代码的传播和实施过程中常见的WinRAR自解压和绑定技术。
绑定技术是将两个或两个以上的文件绑定到一个可执行文件中。执行此文件时,文件捆绑在它执行。需要捆绑在一起,可以将文件相同的文件格式或不同的文件格式。捆绑技术的恶意代码在互联网上的传播黑客广泛使用。通过发送一些感兴趣的文件给用户,包括一个程序包含恶意软件当用户看到感兴趣的文件,点击它后,点击相应的恶意代码,黑客可以利用恶意代码做一些黑色经济收入。
目前,网络上流行的捆绑技术和方法主要有以下几种:
多文件包。
最简单的捆绑捆绑技术是一种最流行的捆绑技术。文件捆绑方式捆绑.exe文件(正常文件)和B.exe文件(恶意代码)为c.exe文件。当用户点击c.exe文件,用户看到的.exe文件执行的结果,而就是文件在背景悄悄地执行。在Win32正常文件从一个文件MZ,和后面的DOS文件头的PE头从体育 0 0.if你检查多个文件捆绑在一起,你可以打开目标文件搜索关键字MZ或PE通过UltraEdit类工具。如果两以上的发现,该文件是绑定到绑定的其他文件。树叶将展示如何实现文件操作捆绑在下面的例子中。
资源整合是必然的。
人谁知道PE结构在Windows文件知道资源是EXE文件的一个特殊的部分。这部分可用于包含的exe调用资源信息的相关内容。我们可以利用的beginupdateresource,更新资源否是是API函数,并endupdateresource更新和替换的资源内容,程序员只需要写一个头文件包文件,和文件只需要一块释放资源的代码。当粘合剂,它释放出的头文件,然后调用上述三个API函数来更新文件被绑定到的头文件,,是的,的结合技术完成。
我们利用绑定
目前,一个流行的结合技术是开发一些应用产品,如Word,Excel漏洞、Flash等,通过对漏洞的利用,然后调用恶意代码的执行。例如,当一些研究者发现在字的产品的安全漏洞,黑客写的漏洞植入恶意代码进入词的主机文件。当用户打开一个恶意的Word文件,在Word中的漏洞程序调用恶意代码并执行它通过Shellcode。
除了这些捆绑技术外,当然还有其他捆绑技术的实现,然而,叶子的时间和精力有限,无法进行更深入的研究,如果人们以同样的方式做更深入的研究,希望也能得到释放,共同进步。
接下来,叶子就通过一个实例执行操作说明WinRAR的捆绑技术。
工具环境:
WinRAR解压缩工具。
快速批处理文件编译器:快速批处理文件编译器
file1.exe(HfS2 .exe):正常的文件
file2.exe(rcbf_03031406 .exe):木马
用winrar程序和qbfc程序来实现木马捆绑过程:
运行批处理文件的编译器,hfs2.exe输入,回车,然后输入rcbf_03031406.exe,如图所示:
U3000 U3000
我们点击项目>选项,设置Ghost应用程序
U3000 U3000
点击生成文件保存为binder.exe