2008-06-16 09:56:45

?【51CTO.com 專(zhuān)家特稿】隨著惡意代碼的發(fā)展越來(lái)越廣泛，以及其強(qiáng)大的破壞性和更多樣的傳播方式，給人 們帶來(lái)更多的危害。葉子在前面的文章中已經(jīng)跟大家談過(guò)惡意代碼的基本概念以及對(duì)其的研究分析流程。在本篇文章中葉子將給大家介紹一下惡意代碼的傳播方式之 一的捆綁技術(shù)，以及常見(jiàn)的Winrar自解壓捆綁技術(shù)的實(shí)現(xiàn)過(guò)程。
捆綁技術(shù)是將兩個(gè)或兩個(gè)以上的文件捆綁在一起成為一個(gè)可執(zhí)行文件，在執(zhí)行這個(gè)文件的時(shí)候，捆綁在里面的文件都被執(zhí)行。需要捆綁在一起的文件，可以是 相同的文件格式，也可以是不同的文件格式。捆綁技術(shù)被黑客們廣泛應(yīng)用在互聯(lián)網(wǎng)的惡意代碼傳播過(guò)程。通過(guò)發(fā)送一些用戶(hù)感興趣的文件，其中包含惡意軟件的程 序。當(dāng)用戶(hù)看到感興趣的文件，點(diǎn)擊后則感染相應(yīng)的惡意代碼。黑客們可以利用惡意代碼來(lái)完成一些黑色經(jīng)濟(jì)的收入。
目前網(wǎng)絡(luò)上流行的捆綁技術(shù)和方式主要有下面幾種情況：
◆多文件捆綁。
捆綁技術(shù)中最簡(jiǎn)單的捆綁方式，也是最流行的捆綁技術(shù)實(shí)現(xiàn)方式之一。文件捆綁也就是將A.exe文件（正常文件）和B.exe文件（惡意代碼）捆綁成 C.exe文件。當(dāng)用戶(hù)點(diǎn)擊C.exe文件時(shí)，用戶(hù)看到的是A.exe文件的執(zhí)行結(jié)果，而B(niǎo).exe文件則在后臺(tái)悄悄執(zhí)行。一個(gè)Win32下正常的文件中 包含以文件MZ開(kāi)頭，DOS文件頭后面的PE頭以PE\0\0開(kāi)頭。檢查是否被捆綁多文件，則可以通過(guò)UltraEdit類(lèi)的工具打開(kāi)目標(biāo)文件搜索關(guān)鍵字 MZ或者PE。如果找到兩個(gè)或者兩個(gè)以上，則表明此文件一定把捆綁了其它的文件。葉子將在后面的實(shí)例中介紹如何實(shí)現(xiàn)文件捆綁的操作過(guò)程。
◆資源融合捆綁。
了解Windows文件中PE結(jié)構(gòu)的人都知道資源是EXE中的一個(gè)特殊的區(qū)段。這段區(qū)域可以用來(lái)包含EXE調(diào)用的資源信息等相關(guān)內(nèi)容。而我們可以利 用BeginUpdateResource 、UpdateResource、EndUpdateResource的API函數(shù)實(shí)現(xiàn)對(duì)資源內(nèi)容的更新替換。編程人員只需先寫(xiě)一個(gè)包裹捆綁文件的頭文 件，文件中只需一段釋放資源的代碼。而捆綁器用的時(shí)候先將頭文件釋放出來(lái)，然后調(diào)用以上的三個(gè)API函數(shù)將待捆綁的文件更新到這個(gè)頭文件中即完成了捆綁技 術(shù)的實(shí)現(xiàn)。
◆漏洞利用捆綁
目前比較流行的捆綁技術(shù)之一，利用word、excel、flash等一些應(yīng)用產(chǎn)品中的安全漏洞，通過(guò)對(duì)漏洞的利用，然后調(diào)用惡意代碼進(jìn)行執(zhí)行。例 如當(dāng)一些研究人員發(fā)現(xiàn)word產(chǎn)品的安全漏洞后，黑客編寫(xiě)漏洞利用程序，并把惡意代碼植入word的宿主文件中。當(dāng)用戶(hù)打開(kāi)惡意的word文件時(shí)， word漏洞中的程序通過(guò)Shellcode調(diào)用惡意代碼，并執(zhí)行之。
除了這幾種捆綁技術(shù)之外，當(dāng)然還有更多的其它捆綁技術(shù)的實(shí)現(xiàn)方式。不過(guò)葉子的時(shí)間精力有限，無(wú)法做更深入的研究。如果有同道之人做了更深入的研究，希望也能發(fā)布出來(lái)進(jìn)行共同進(jìn)步。
接下來(lái)，葉子將通過(guò)一個(gè)實(shí)例進(jìn)行講解Winrar的捆綁技術(shù)實(shí)現(xiàn)操作過(guò)程。
工具環(huán)境：
WinRAR：解壓縮工具。
Quick Batch File Compiler：快速批量文件編譯程序
File1.exe（hfs2.exe）：正常文件
File2.exe（RCBF_03031406.exe）：木馬


使用WinRAR程序和QBFC程序?qū)崿F(xiàn)木馬捆綁過(guò)程：
◆運(yùn)行Quick Batch File Compiler，輸入hfs2.exe，回車(chē)，再輸入RCBF_03031406.exe，如圖所示：



◆點(diǎn)擊“Project”－>“Options”，設(shè)置“Ghost Application”



◆點(diǎn)擊“Build”，保存文件為“binder.exe”
◆創(chuàng)建WinRAR自解壓文件，包含“binder.exe”、“hfs2.exe”、“RCBF_03031406.exe”文件。選擇這三個(gè)文件，點(diǎn)擊“add to archive”。



◆設(shè)置壓縮文件，壓縮文件名稱(chēng)為hfs.exe，選中“Create SFX archive”（自解壓選項(xiàng)）。



◆選擇“Advanced”，設(shè)置“SFX options”、
圖1


◆設(shè)置“Setup Program”中的“Run after extraction”，名稱(chēng)為Quick Batch File Compiler工具生成的文件“Binder.exe”。



◆設(shè)置“Modes”中的“Silent mode”為“Hide all”，“Overwrite mode”為“Overwrite all files”。



◆最后“確定”，捆綁生成的自解壓文件為hfs.exe文件。點(diǎn)擊打開(kāi)自解壓的hfs.exe文件時(shí)，程序在執(zhí)行完hfs2.exe文件后，執(zhí)行木馬RCBF_03031406.exe。如果木馬原來(lái)是免殺的，則能達(dá)到hfs.exe文件也為免殺功能。
葉子簡(jiǎn)單介紹了文件捆綁技術(shù)的實(shí)現(xiàn)方式。至于對(duì)文件捆綁的檢測(cè)和防范手段，葉子將在后面的文章中進(jìn)一步的說(shuō)明分析。


本文出自 “葉子” 博客http://trustsec.blog.51cto.com/305338/82292

總結(jié)

以上是生活随笔為你收集整理的浅谈文件捆绑技术及实现方式的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。