木馬傳播者最慣用的手段就是將木馬程序和合法程序捆綁在一起，欺騙被攻擊者。然而，現(xiàn)在殺毒軟件對捆綁類軟件已顯出“咄咄逼人”的態(tài)勢，幾乎所有的捆綁類軟件都會被查殺，大大小小的木馬紛紛失效。 IExpress小檔案 出身:Microsoft 功能:專用于制作各種 CAB 壓縮與自解壓縮包的工具。 由于是Windows自帶的程序，所以制作出來的安裝包具有很好的兼容性。它可以幫助木馬傳播者制造不被殺毒軟件查殺的自解壓包，而且一般情況下還可偽裝成某個系統(tǒng)軟件的補丁(如IE的hotfix)來迷惑人。 到哪里尋找永遠都不會被查殺的捆綁方法或工具?遠在天邊，近在眼前。可千萬別忘了與你朝夕相處的Windows。此次所要介紹的捆綁工具就是Windows自帶的一個小巧的軟件IExpress(適用于2000和XP系統(tǒng))。 原理 IExpress使用了多種不同的自解壓縮文件技術對軟件更新文件進行打包，這些自解壓包能夠自動運行程序包中包含的EXE程序。IExpress技術是Microsoft使用的一項技術，用于為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種產(chǎn)品創(chuàng)建軟件更新程序包。 如何確定某個軟件更新程序包是否使用了IExpress呢?方法如下: 1.右鍵單擊該程序包，然后單擊“屬性”。 2.在“常規(guī)”選項卡中，查看“描述”。使用了IExpress技術的軟件更新程序包中會包含“Win32 Cabinet Self-Extractor”字樣。 實際操作 在這一部分，筆者將以實例的形式為大家詳細講解捆綁木馬的整個過程。 第一步 在“運行”對話框中輸入IExpress就可啟動程序(圖1)。 圖一在開始的時候會有兩個選項供你選擇，一個是創(chuàng)建新的自解壓文件(Create new Self Extraction Directive file)，另一個是打開已經(jīng)保存的自解壓模板“.sed”文件(Open existing Self Extraction Directive file)。我們應該選擇第一項，然后點擊“下一步”按鈕。 　　第二步 接下來選擇制作木馬自解壓包的三種打包方式(圖2)，它們分別是建立自解壓并自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。 因為我們要制作的是木馬解壓包，所以應該選擇第一項。在輸入壓縮包標題后點擊“下一步”按鈕。