iexpress使用方法 CAB檔案制作

木馬傳播者最慣用的手段就是将木馬程式和合法程式捆綁在一起，欺騙被攻擊者。然而，現在防毒軟體對捆綁類軟體已顯出"咄咄逼人"的态勢，幾乎所有的捆綁類軟體都會被清除，大大小小的木馬紛紛失效。

IExpress小檔案

功能:專用于制作各種 CAB 壓縮與自解壓縮包的工具。

由于是Windows自帶的程式，是以制作出來的安裝包具有很好的相容性。它可以幫助木馬傳播者制造不被防毒軟體清除的自解壓包，而且一般情況下還可僞裝成某個系統軟體的更新檔(如IE的hotfix)來迷惑人。

到哪裡尋找永遠都不會被清除的捆綁方法或工具?遠在天邊，近在眼前。可千萬别忘了與你朝夕相處的Windows。此次所要介紹的捆綁工具就是 Windows自帶的一個小巧的軟體IExpress(适用于2000和XP系統)。

原理

IExpress使用了多種不同的自解壓縮檔案技術對軟體更新檔案進行打包，這些自解壓包能夠自動運作程式包中包含的EXE程式。IExpress 技術是Microsoft使用的一項技術，用于為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種産品建立軟體更新程式包。

如何确定某個軟體更新程式包是否使用了IExpress呢?方法如下:

1.右鍵單擊該程式包，然後單擊"屬性"。

2.在"正常"頁籤中，檢視"描述"。使用了IExpress技術的軟體更新程式包中會包含"Win32 Cabinet Self-Extractor"字樣。

實際操作

在這一部分，筆者将以執行個體的形式為大家詳細講解捆綁木馬的整個過程。

第一步

在"運作"對話框中輸入IExpress就可啟動程式(圖1)。

在開始的時候會有兩個選項供你選擇，一個是建立新的自解壓檔案(Create new Self Extraction Directive file)，另一個是打開已經儲存的自解壓模闆".sed"檔案(Open existing Self Extraction Directive file)。我們應該選擇第一項，然後點選"下一步"按鈕。

第二步

接下來選擇制作木馬自解壓包的三種打包方式(圖2)，它們分别是建立自解壓并自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。

因為我們要制作的是木馬解壓包，是以應該選擇第一項。在輸入壓縮包标題後點選"下一步"按鈕。

第三步

在"确認提示"(Confirmation prompt)這一環節，軟體會詢問在木馬程式解包前是否提示使用者進行确認，由于我們是在制作木馬程式的解壓包，當然越隐蔽越好，選擇第一項"不提示" (No prompt)，這麼做的目的是讓中招人毫無防備。點選"下一步"按鈕，在接下來的添加"使用者允許協定"(License agreement)中添加一個僞裝的使用者協定迷惑中招者，選擇"顯示使用者允許協定"(Display a license)，點選"Browse"選擇一份編輯好的TXT文檔，此文檔可以用微軟公司的名義來編輯，設定完畢後點選"下一步"。這一步的目的是迷惑對手并隐藏木馬安裝的過程。

第四步

現在，我們就進入了檔案清單視窗(Packaged files)。點選該視窗中的"Add"按鈕添加木馬和将要與木馬程式捆綁在一起的合法程式。根據剛才編輯的協定檔案的内容添加合法程式。例如，你制作的協定和IE更新檔包相關，那麼你就可将木馬和一個正常的IE更新檔包添加進來。

随後進入安裝程式選擇視窗，指定解壓縮包開始運作的檔案(Install Program)和安裝結束後運作的程式(post install command)。例如，在Install Program内設定正常的IE更新檔包先運作，此時木馬并未運作，在中招者看來的确是一個IE更新檔包。在post install command内設定木馬程式，這樣在IE更新檔包安裝完畢時，木馬程式将會在背景執行，我們的目的也就達到了。

第五步

接下來選擇軟體在安裝過程中的顯示模式(Show window)。由于我們的木馬是和合法程式捆綁在一起的，是以選擇"預設"(Default)即可。接下來進行提示語句(Finished message)的顯示設定，由于我們做的是木馬捆綁安裝程式，當然應該選擇"No message"。

第六步

上述設定完成後，接着設定自解壓程式的儲存位置和名稱。在這裡要選擇"Hide File Extracting Progress Animation from User"，以便隐藏解壓縮過程，有助于隐藏某些木馬程式啟動時彈出的指令提示框。最後，設定在軟體安裝完成後是否重新啟動(Configure reboot)，可以根據實際需要來選擇。如果你所用的木馬是"即插即用"的，那麼就選擇"No reboot";如果所采用的木馬用于開啟終端服務，那麼可選擇"Always reboot"，同時選擇"重新啟動前不提示使用者"(Do not prompt user before reboot)。

在儲存剛才所做的設定後點選"下一步"按鈕，即可開始制作木馬自解壓程式。

整個制作過程是在DOS下進行的，在完成度達到100%後會彈出提示視窗，點選"完成"，木馬程式與合法程式的捆綁工作就完成了(格式為EXE)，直接輕按兩下即可運作。你再用防毒軟體查一查。怎麼樣?已經完全不會被查出來了吧。

現在還等什麼?趕快利用"木馬屠城"介紹過的網頁木馬傳播技術或木馬電子書技術釋出你的木馬去吧。當然，你也可以把它作為IE的重要更新檔發送給别人。

不用第三方工具，無需過多的加殼僞裝，讓"Windows"來為我們服務，為我們捆綁木馬，豈不快哉。

防範措施

可以先檢查可疑的程式包是否采用了IExpress技術("原理"部分已介紹)。如果采用了IExpress技術，那麼你就得留心了，此時可以進入指令提示符下使用"IExpress /c"指令來解壓縮檔案(不進行安裝)以檢查程式包中是否有木馬，同時還可加上參數"/t:path"指定解壓路徑。

編後:

普通使用者應該提高警惕了，很多木馬制作者了解到使用者對漏洞的恐懼，利用使用者急着打最新更新檔的心理借機入侵。在看似合法的更新檔程式中，極有可能隐藏着木馬程式。是以，在此提醒大家，千萬不要在作業系統和軟體的非官方站點下載下傳更新檔程式包，因為這些程式包很有可能是被捆綁了惡意程式的虛假程式包。

轉自：

http://hi.baidu.com/zzs_star/blog/item/e4cc33b3a38bcdacd8335a3c.html