木馬傳播者最慣用的手段就是將木馬程序和合法程序捆綁在一起，欺騙被攻擊者。然而，現(xiàn)在殺毒軟件對(duì)捆綁類軟件已顯出“咄咄逼人”的態(tài)勢(shì)，幾乎所有的捆綁類軟件都會(huì)被查殺，大大小小的木馬紛紛失效。 IExpress小檔案 出身:Microsoft 功能:專用于制作各種 CAB 壓縮與自解壓縮包的工具。 由于是Windows自帶的程序，所以制作出來(lái)的安裝包具有很好的兼容性。它可以幫助木馬傳播者制造不被殺毒軟件查殺的自解壓包，而且一般情況下還可偽裝成某個(gè)系統(tǒng)軟件的補(bǔ)丁(如IE的hotfix)來(lái)迷惑人。 到哪里尋找永遠(yuǎn)都不會(huì)被查殺的捆綁方法或工具?遠(yuǎn)在天邊，近在眼前。可千萬(wàn)別忘了與你朝夕相處的Windows。此次所要介紹的捆綁工具就是Windows自帶的一個(gè)小巧的軟件IExpress(適用于2000和XP系統(tǒng))。 原理 IExpress使用了多種不同的自解壓縮文件技術(shù)對(duì)軟件更新文件進(jìn)行打包，這些自解壓包能夠自動(dòng)運(yùn)行程序包中包含的EXE程序。IExpress技術(shù)是Microsoft使用的一項(xiàng)技術(shù)，用于為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種產(chǎn)品創(chuàng)建軟件更新程序包。 如何確定某個(gè)軟件更新程序包是否使用了IExpress呢?方法如下: 1.右鍵單擊該程序包，然后單擊“屬性”。 2.在“常規(guī)”選項(xiàng)卡中，查看“描述”。使用了IExpress技術(shù)的軟件更新程序包中會(huì)包含“Win32 Cabinet Self-Extractor”字樣。 實(shí)際操作 在這一部分，筆者將以實(shí)例的形式為大家詳細(xì)講解捆綁木馬的整個(gè)過(guò)程。 第一步 在“運(yùn)行”對(duì)話框中輸入IExpress就可啟動(dòng)程序(圖1)。 圖一在開始的時(shí)候會(huì)有兩個(gè)選項(xiàng)供你選擇，一個(gè)是創(chuàng)建新的自解壓文件(Create new Self Extraction Directive file)，另一個(gè)是打開已經(jīng)保存的自解壓模板“.sed”文件(Open existing Self Extraction Directive file)。我們應(yīng)該選擇第一項(xiàng)，然后點(diǎn)擊“下一步”按鈕。 　　第二步 接下來(lái)選擇制作木馬自解壓包的三種打包方式(圖2)，它們分別是建立自解壓并自動(dòng)安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。 因?yàn)槲覀円谱鞯氖悄抉R解壓包，所以應(yīng)該選擇第一項(xiàng)。在輸入壓縮包標(biāo)題后點(diǎn)擊“下一步”按鈕。