2017-2018-2 20155315《網絡對抗技術》免考二：文件捆綁

原理

• 文件捆綁也就是將正常文件A和惡意代碼文件B捆綁成第三方文件C。當用戶點擊文件C時，用戶看到的是文件A的執行結果，而文件B則在後臺悄悄執行。
• 用winrar的簡單功能，建立自解壓可執行文件，實現將txt等文件與病毒程序捆綁，構成惡意附件。

UltraEdit

• UltraEdit 是一套功能強大的文本編輯器，能夠編輯文本、十六進制、ASCII 碼，徹底能夠取代記事本（若是電腦配置足夠強大），內建英文單字檢查、C++ 及 VB 指令突顯，可同時編輯多個文件，並且即便開啓很大的文件速度也不會慢。
  • 十六進制編輯器能夠編輯任何二進制文件，並顯示二進制和 ASCII 視圖
  • 提取出來的Win32經常使用文件的文件頭

  文件	類型	文件頭
  JPEG	jpg	FFD8FF
  PNG	png	89504E47
  GIF	gif	47494638
  Adobe Photoshop	psd	38425053
  XML	xml	3C3F786D6C
  HTML	html	68746D6C3E
  Email [thorough only]	eml	44656C69766572792D646174653A
  MS Word/Excel	.xlsor.doc	D0CF11E0
  Adobe Acrobat	pdf	255044462D312E
  Windows Password	pwl	E3828596
  ZIP Archive	zip	504B0304
  RAR Archive	rar	52617221

WinHex

• WinHex 是一個專門用來對付各類平常緊急狀況的工具。它能夠用來檢查和修復各類文件、恢復刪除文件、硬盤損壞形成的數據丟失等。同時它還可讓你看到其餘程序隱藏起來的文件和數據，是一款很是不錯的 16 進制編輯器。
  • 提取的exe、elf文件的文件頭

  文件	類型	文件頭
  Win32 Executable	exe;dll;drv;vxd;sys;ocx;vbx	MZ
  Win16 Executable	exe;dll;drv;vxd;sys;ocx;vbx	MZ
  ELF Executable	elf;;	0x7F454C4601010100

過程

捆綁

• 將咱們的病毒程序右鍵選擇壓縮到文件
• 選擇建立自解壓格式壓縮文件，選擇高級選項卡，點擊自解壓選項在常規中選擇在當前文件夾中建立baidu文件夾
  
• 在設置中選擇提取後運行咱們的病毒程序
  
• 點擊肯定後，生成的是一個新的應用程序，雙擊生成的程序，提示要安裝自解壓文件。點擊安裝以後，能看到生成了一個baidu文件夾。雙擊文件夾即運行了咱們的病毒文件。
• 整個過程仍是比較順利的，爲了使假裝更爲真實，我把xampp中的readme_de.txt與病毒文件一塊兒進行捆綁，將程序設定爲提取後運行。重複上述過程將模式設定爲所有隱藏，這樣就不須要再點擊安裝了，更加隱蔽。
  
• 在文本和圖表選項卡中添加xampp圖標，點擊肯定，看起來更真實了。
  
• kali使用exploit/multi/handler模塊進行監聽，雙擊這個程序，能夠看到回連成功。
  

UltraEdit檢測

• 使用UltraEdit打開捆綁後的文件
  
  
• 一樣的，由於文本文件沒有文件頭，將程序與圖片進行捆綁，一樣能夠在ASCII碼中看到捆綁的圖片與程序。
  

WinHex檢測

• 使用WinHex打開捆綁後的文件
  
  
• 當程序與文本文件捆綁的時候，不能從編碼中看出，換成將程序與圖片進行捆綁，能夠在ASCII碼中看到捆綁的圖片與程序。
  

總結

• 直接將惡意程序做爲郵件附件發送的話，會被郵箱退回。爲了避免被郵箱識別出來，採用文件捆綁技術，將惡意程序進行假裝在做爲郵件附件發送。
• 點開我生成的自解壓程序就自動運行了咱們的惡意程序，這讓我想到以前從網上下載的程序，彷佛也有一些是在打開的同時運行了其餘程序。這樣的捆綁程序對用戶而言是很隱蔽的，若是沒有安裝殺毒軟件的話，可能就會被攻擊。因此，爲了電腦的安全，仍是應該留個心眼，最大可能地都在官方網站下載程序。

• 若是不肯定本身下載的是否是捆綁程序，能夠查看屬性中的註釋，如有捆綁，註釋中會標明路徑及雙擊後會運行的程序。

  參考資料

• winrar捆綁軟件

• 各類類型文件頭特徵碼