微機(jī)知識(shí):WinRAR技巧與另類應(yīng)用集錦

拒絕使用WinRAR捆綁的惡意程序
    隨著人們安全意識(shí)的提高，木馬、硬盤炸彈等惡意程序的生存越來越成為問題，于是那些居心叵測(cè)的家伙絞盡腦汁又想出許多辦法來偽裝自己，利用WinRAR自解壓程序捆綁惡意程序就是其中的手段之一。
    攻擊者可以把木馬和其他可執(zhí)行文件，比方說Flash動(dòng)畫放在同一個(gè)文件夾下，然后將這兩個(gè)文件添加到檔案文件中，并將文件制作為exe格式的自釋放文件，這樣，當(dāng)你雙擊這個(gè)自釋放文件時(shí)，就會(huì)在啟動(dòng)Flash動(dòng)畫等掩飾文件的同時(shí)悄悄地運(yùn)行木馬文件！這樣就達(dá)到了木馬種植者的目的，即運(yùn)行木馬服務(wù)端程序。而這一招效果又非常好，對(duì)方很難察覺到，因?yàn)椴]有明顯的征兆存在，所以目前使用這種方法來欺騙對(duì)方運(yùn)行木馬非常普遍。
    利用WinRAR制作的自解壓文件，不僅可以用來隱蔽的加載木馬服務(wù)端程序，還可以用來修改運(yùn)行者的注冊(cè)表！結(jié)果是只要有人雙擊運(yùn)行這個(gè)做過手腳的Winrar自解壓程序，就會(huì)自動(dòng)修改注冊(cè)表鍵值，如同惡意網(wǎng)頁(yè)一般危險(xiǎn)！而且整個(gè)過程中將不會(huì)有導(dǎo)入注冊(cè)表時(shí)的提示信息（害人者只需制作自解壓文件時(shí)給regedit加上“/s”參數(shù)即可，具體方法這里不提，防止有人利用）！不僅如此，攻擊者還可以把這個(gè)自解壓文件和木馬服務(wù)端程序或硬盤炸彈如江民炸彈等用WinRAR捆綁在一起，然后制作成自解壓文件，那樣對(duì)大家的威脅將更大！因?yàn)樗粌H能破壞注冊(cè)表，還會(huì)破壞大家的硬盤數(shù)據(jù)，想想看是不是很可怕？
    不難看出，WinRAR的自解壓功能真的是太強(qiáng)大了，它能使得不會(huì)編程的人也能在短時(shí)間內(nèi)制作出非常狠毒的惡意程序，通過給生成的自解壓文件起個(gè)容易使人感興趣的名字發(fā)送給別人，或直接在網(wǎng)站或論壇等地方發(fā)布，來格式化對(duì)方的硬盤、刪除文件、種植木馬、取得系統(tǒng)權(quán)限等，是非常有可能、非常容易實(shí)現(xiàn)的。最可怕的是，在用WinRAR給自解壓的文件換個(gè)圖標(biāo)后，就更難識(shí)別它了。而且對(duì)于含有木馬或惡意程序的自解壓文件，目前許多流行的殺毒軟件和木馬查殺軟件竟無法查出其中有問題存在！不信的話，大家可以做個(gè)試驗(yàn)，就知道結(jié)果了。出于眾所周知的原因，就不說出是哪些殺毒軟件無法查出了，大家可以動(dòng)手試試。
    一個(gè)正常的自解壓文件和捆綁了惡意程序的自解壓文件有什么區(qū)別呢？或者說該如何判斷自解壓程序是否含有惡意程序呢？很簡(jiǎn)單！只要能發(fā)現(xiàn)自釋放文件里面隱藏有多個(gè)文件，特別是多個(gè)可執(zhí)行文件，就可以判定其中含有惡意程序！那么怎樣才能知道自釋放文件中含有幾個(gè)文件，是哪些文件呢？一個(gè)簡(jiǎn)單的識(shí)別的方法是：用鼠標(biāo)右擊WinRAR自釋放文件，在彈出菜單中選擇“屬性”，在“屬性”對(duì)話框中你會(huì)發(fā)現(xiàn)較之普通的EXE文件多出兩個(gè)標(biāo)簽，分別是：“檔案文件”和“注釋”，單擊“注釋”標(biāo)簽，看其中的注釋內(nèi)容，你就會(huì)發(fā)現(xiàn)里面含有哪些文件了，這樣就可以做到心中有數(shù)，這是識(shí)別用WinRAR捆綁惡意程序文件的方法。