用Windows自带工具打造“免检”木马

核心提示： 第四步现在，我们就进入了文件列表窗口(Packaged files)，用Windows自带工具打造“免检”木马(3)，点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序，根据刚才编辑的协议文件的内容添加合法程序，在此提醒大家，千万不要在操作系统

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

防范措施

可以先检查可疑的程序包是否采用了IExpress技术(“原理”部分已介绍)。如果采用了IExpress技术，那么你就得留心了，此时可以进入命令提示符下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有木马，同时还可加上参数“/t:path”指定解压路径。

编后:

普通用户应该提高警惕了，很多木马制作者了解到用户对漏洞的恐惧，利用用户急着打最新补丁的心理借机入侵。在看似合法的补丁程序中，极有可能隐藏着木马程序。所以，在此提醒大家，千万不要在操作系统和软件的非官方站点下载补丁程序包，因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。