文档介绍:Windows自带捆绑器使用方法IExpress小档案出身:Microsoft功能:专用于制作各种CAB压缩与自解压缩包的工具。由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助木马传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。原理IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包,这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术,Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:,然后单击“属性”。“常规”选项卡中,查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Self-Extractor”字样。实际操作在这一部分,笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。第一步在“运行”对话框中输入IExpress就可启动程序(图1)。在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(CreatenewSelfExtractionDirectivefile),另一个是打开已经保存的自解压模板“.sed”文件(OpenexistingSelfExtractionDirectivefile)。我们应该选择第一项,然后点击“下一步”按钮。第二步接下来选择制作木马自解压包的三种打包方式(图2),它们分别是建立自解压并自动安装压缩包(mand)、建立自解压压缩包(Extractfilesonly)和建立CAB压缩包(pressedfilesonly)。因为我们要制作的是木马解压包,所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。第三步在“确认提示”(Confirmationprompt)这一环节,软件会询问在木马程序解包前是否提示用户进行确认,由于我们是在制作木马程序的解压包,当然越隐蔽越好,选择第一项“不提示”(Noprompt),这么做的目的是让中招人毫无防备。点击“下一步”按钮,在接下来的添加“用户允许协议”(Licenseagreement)中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”(Displayalicense),点击“Browse”选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。第四步现在,我们就进入了文件列表窗口(Packagedfiles)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将木马和一个正常的IE补丁包添加进来。随后进入安装程序选择窗口,指定解压缩包开始运行的文件(InstallProgram)和安装结束后运行的程序(mand)。例如,在InstallProgram内设置正常的IE