安全评论：WinRar也是双刃剑

　　二、WinRar绑马

　　WinRar绑马和上面的挂马原理差不多，都是利用了WinRar的自解压功能在其中嵌入恶意代码，让压缩包中的木马运行。

　　1、实例演示

　　第一步：准备好的木马程序和正常的程序或者图片文件，按照实例一第一步的操作把它们添加到自解压包中。根据自己的需要选择“压缩方式”，然后点击“高级”标签，选择“SFX　选项”，在“释放路径”中填入你需要解压的路径，这里填的是“%systemroot%/temp”(不包括引号)，表示解压缩到系统安装目录下的temp(临时文件)文件夹下。在“解压后运行”中输入正常的程序(记事本)，在“解压前运行”中输入你的木马程序名(测试中一个简单的对话框弹出小程序lw.exe)如图6。

　　

　　                                          图6

　　第二步：点击“模式”选项卡，在打开的窗口中勾选“全部隐藏”和“覆盖所有文件”选项如图7，以增强容错性，最后点击“确定”即可。

　　

　　                                         图7

　　第三步：双击运行该自解压程序，正常的程序notepand.exe和测试程序lw.exe依次运行，如图8。

　　

　　                                     图8

　　提示：除了上面的方法为，攻击者一般都通过脚本代码来达到在WinRar中捆绑木马达到其目的。其中关键代码如下：

Path=%systemroot% 　　Setup=lw.exe 　　Presetup=notepad.exe 　　Silent=1 　　Overwrite=1

　　第一行是文件的解压路径，在系统根目录下;第二行是解压后自动运行lw.exe;第三行是在解压之前先运行notepad.exe，达到掩人耳目;第四行是隐藏文件，达到更隐蔽;第五行是覆盖目录下的同名文件，以容错更可靠。

　　2、防范技巧

　　(1).上面防挂马的第一条相同，就是用WinRar打开自解压包

　　(2).在遇到后缀为exe的自解压包前一定先用杀毒软件对其进行查毒，确定无毒后再用WinRar打开。

　　三、WinRar欺骗

　　1、实例演示

　　通过上面的方法制作的自解包有两个明显的缺陷：1.尽管文件后缀为exe但是文件图标却是WinRar的，隐蔽性不够;2.单击文件右键就会显示与WinRar相关的项目如图9。于是攻击者对其从两个方面进行隐蔽欺骗。