微機知識:WinRAR技巧與另類應(yīng)用集錦

拒絕使用WinRAR捆綁的惡意程序
    隨著人們安全意識的提高，木馬、硬盤炸彈等惡意程序的生存越來越成為問題，于是那些居心叵測的家伙絞盡腦汁又想出許多辦法來偽裝自己，利用WinRAR自解壓程序捆綁惡意程序就是其中的手段之一。
    攻擊者可以把木馬和其他可執(zhí)行文件，比方說Flash動畫放在同一個文件夾下，然后將這兩個文件添加到檔案文件中，并將文件制作為exe格式的自釋放文件，這樣，當(dāng)你雙擊這個自釋放文件時，就會在啟動Flash動畫等掩飾文件的同時悄悄地運行木馬文件！這樣就達到了木馬種植者的目的，即運行木馬服務(wù)端程序。而這一招效果又非常好，對方很難察覺到，因為并沒有明顯的征兆存在，所以目前使用這種方法來欺騙對方運行木馬非常普遍。
    利用WinRAR制作的自解壓文件，不僅可以用來隱蔽的加載木馬服務(wù)端程序，還可以用來修改運行者的注冊表！結(jié)果是只要有人雙擊運行這個做過手腳的Winrar自解壓程序，就會自動修改注冊表鍵值，如同惡意網(wǎng)頁一般危險！而且整個過程中將不會有導(dǎo)入注冊表時的提示信息（害人者只需制作自解壓文件時給regedit加上“/s”參數(shù)即可，具體方法這里不提，防止有人利用）！不僅如此，攻擊者還可以把這個自解壓文件和木馬服務(wù)端程序或硬盤炸彈如江民炸彈等用WinRAR捆綁在一起，然后制作成自解壓文件，那樣對大家的威脅將更大！因為它不僅能破壞注冊表，還會破壞大家的硬盤數(shù)據(jù)，想想看是不是很可怕？
    不難看出，WinRAR的自解壓功能真的是太強大了，它能使得不會編程的人也能在短時間內(nèi)制作出非常狠毒的惡意程序，通過給生成的自解壓文件起個容易使人感興趣的名字發(fā)送給別人，或直接在網(wǎng)站或論壇等地方發(fā)布，來格式化對方的硬盤、刪除文件、種植木馬、取得系統(tǒng)權(quán)限等，是非常有可能、非常容易實現(xiàn)的。最可怕的是，在用WinRAR給自解壓的文件換個圖標(biāo)后，就更難識別它了。而且對于含有木馬或惡意程序的自解壓文件，目前許多流行的殺毒軟件和木馬查殺軟件竟無法查出其中有問題存在！不信的話，大家可以做個試驗，就知道結(jié)果了。出于眾所周知的原因，就不說出是哪些殺毒軟件無法查出了，大家可以動手試試。
    一個正常的自解壓文件和捆綁了惡意程序的自解壓文件有什么區(qū)別呢？或者說該如何判斷自解壓程序是否含有惡意程序呢？很簡單！只要能發(fā)現(xiàn)自釋放文件里面隱藏有多個文件，特別是多個可執(zhí)行文件，就可以判定其中含有惡意程序！那么怎樣才能知道自釋放文件中含有幾個文件，是哪些文件呢？一個簡單的識別的方法是：用鼠標(biāo)右擊WinRAR自釋放文件，在彈出菜單中選擇“屬性”，在“屬性”對話框中你會發(fā)現(xiàn)較之普通的EXE文件多出兩個標(biāo)簽，分別是：“檔案文件”和“注釋”，單擊“注釋”標(biāo)簽，看其中的注釋內(nèi)容，你就會發(fā)現(xiàn)里面含有哪些文件了，這樣就可以做到心中有數(shù)，這是識別用WinRAR捆綁惡意程序文件的方法。