使用 WinRAR 自解压功能捆绑木马并防止被用右键打开的方法和代码


WinRAR是网上常用的一个压缩/解压缩软件,支持包括zip在内的多种压缩格式,压缩率高,现在越来越多的人喜欢用WinRAR来压缩软件了。

利用它的自解压和文件运行功能可以实现捆绑机的基本要求。首先我们选定两个文件“server.exe”和“我的照片.jpg”,点击右键选添加到“XXXXX.rar”。(XXXXX为你文件所在的目录) 然后双击打开生成的这个rar文件,点击工具栏上的自解压图标。在弹出的对话框中选择高级自解压选项。

在“解压路径”中填入你要解压的路径, %systemroot% emp表示系统安装目录下的temp文件夹,一般是c:winnt emp文件夹。“解压缩之后运行”中输入木马的服务端“server.exe”,“解压缩之前后运行”中输入“我的照片.jpg”。此处有一定的欺骗性。

生成后的程序运行时会先调用默认关联的图片查看程序来打开“我的照片.jpg”,等关闭这个图片查看程序后才会去运行“server.exe”,可以起到一定的迷惑作用,所以顺序一定不能颠倒,否则就露馅了。

现在点击“高级”标签,选择“全部隐藏”和“覆盖所有文件”这两个选项。这两个选项是为了不让rar解压的时候弹出窗口。然后点击“文字和图标”标签,选择你喜欢的图标吧。

点击两下确定返回,在同一个目录下就会生成一个与rar同名的exe文件,这个就是“捆绑“后的文件了。你也可以给文件更名。比如“我的照片.jpg.exe”。注意,文件后缀名一定要是exe。

优点:
1、WinRAR“捆绑”的文件是永远不会被杀的,不用担心哪天杀毒软件会瞄上你的“捆绑机”。
2、等第一个正常程序运行结束后再运行服务端,有一定的迷惑性。

缺点:
1、生成的程序稍嫌偏大,我用WinRAR3.0生成的exe比rar文件大了不少,如果是“捆绑”大文件应该还可以。
2、操作比较麻烦。

后记:
1、以上所有操作均在WinXP+WinRAR3.0下测试通过。
2、高级自解压-模式中选择打开方式选择隐藏启动对话框即可,如果你选择全部隐藏,那么图片也看不到了(xp中如此)。

补充:还有一件事大家注意一下:对于自解压文件,我通常选用的方法是反健选取,然后选择菜单中的解压缩到 XXX 文件夹,这样不管自解压文件中是否捆绑有木马都不会中!而且在释放后的文件夹中可以清晰的看到被捆绑的木马服务端。

WINRAR捆绑木马之后的小技巧

前提是木马绝对的免杀,这样做就能隐藏你很好的劳动成果! rar 捆绑后的完美解决.

前提是免杀的服务端,捆绑后就是做成自解压文件后,右键会出现一个“用WINRAR打开”的选项 如果别人真的打开了,那么我们的秘密不就暴露了吗?现在我们来解决它:

用到的工具:WINRAR     WINHEX     OD

以下就要开工了,用WINHEX打开它(目标:去除“用WINRAR打开”的选项)

查找rar!

rar!是WINRAR自解压文件识别压缩文件的标识

把查找到的rar!右边的16进制数值,也就是52 61 72 21

把其中的61改成60,保存文件

现在再看看,“用WINRAR打开”不见了,打开看看吧

压缩文件格式未知或已经损坏

压缩文件格式未知或已经损坏,损坏了,是因为他找不到压缩文件的标识,

我们用OD来修改吧~~~,用OD载入他

右键→查找→所有常量

输入52

双击cmp byte ptr ds:[edx],52

来到
0040704E   |.   803A 52        CMP BYTE PTR DS:[EDX],52
00407051   |.   75 2D          JNZ SHORT 测试.00407080
00407053   |.   807A 01 61     CMP BYTE PTR DS:[EDX+1],61
00407057   |.   75 27          JNZ SHORT 测试.00407080
00407059   |.   807A 02 72     CMP BYTE PTR DS:[EDX+2],72
0040705D   |.   75 21          JNZ SHORT 测试.00407080
0040705F   |.   807A 03 21     CMP BYTE PTR DS:[EDX+3],21
00407063   |.   75 1B          JNZ SHORT 测试.00407080
00407065   |.   807A 04 1A     CMP BYTE PTR DS:[EDX+4],1A

把这一段汇编
把61改成60(对应上面修改的数值)

保存修改后的文件

看一下修改后的文件

右键中的“用WINRAR打开”不见了,看看文件可以正常运行不

运行正常,服务端也正常运行。

图片描述

抢沙发

昵称*

邮箱*

网址