当前位置：首页 > 编程日记 > 正文

iexpress全力打造“免检”***

编程日记 2024-06-05 16:30:00

IExpress小档案

出身:Microsoft

功能:专用于制作各种 CAB 压缩与自解压缩包的工具。

由于是Windows自带的程序，所以制作出来的安装包具有很好的兼容性。它可以帮助***传播者制造不被杀毒软件查杀的自解压包，而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。

到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边，近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。

原理

IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包，这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术，用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。

如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:

1.右键单击该程序包，然后单击“属性”。

2.在“常规”选项卡中，查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。

实际操作

在这一部分，笔者将以实例的形式为大家详细讲解捆绑***的整个过程。

第一步

在“运行”对话框中输入IExpress就可启动程序(图1)。

在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项，然后点击“下一步”按钮。

第二步

接下来选择制作***自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要制作的是***解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在***程序解包前是否提示用户进行确认，由于我们是在制作***程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏***安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加***和将要与***程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将***和一个正常的IE补丁包添加进来。

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时***并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置***程序，这样在IE补丁包安装完毕时，***程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的***是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是***捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些***程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的***是“即插即用”的，那么就选择“No reboot”;如果所采用的***用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作***自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，***程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“***屠城”介绍过的网页***传播技术或***电子书技术发布你的***去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑***，岂不快哉。

防范措施

可以先检查可疑的程序包是否采用了IExpress技术(“原理”部分已介绍)。如果采用了IExpress技术，那么你就得留心了，此时可以进入命令提示符下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有***，同时还可加上参数“/t:path”指定解压路径。

编后:

普通用户应该提高警惕了，很多***制作者了解到用户对漏洞的恐惧，利用用户急着打最新补丁的心理借机***。在看似合法的补丁程序中，极有可能隐藏着***程序。所以，在此提醒大家，千万不要在操作系统和软件的非官方站点下载补丁程序包，因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。

https://www.dkcj.cn/info/9400.html

iexpress全力打造“免检”***

相关文章：

java 稀疏数组和二维数组转换，并保存稀疏数组到文件后可以读取

springboot redis配置

C# 根据节点索引访问XML配置文件

ASP.NET DEMO 14: 如何在 GridView/DataGrid 模板列中使用自动回发的 CheckBox/DropDownList

BI.寒号鸟请吃烧烤/意外入手“speed- dear friends vol.1”/入手“鲍家街43号”/我爱红红/我爱红红...

数据结构----单链表增删改查

Using NUnit with Visual Studio 2005 Express Editions

代理上网环境下配置TortoiseCVS

ucos-iii串口用信号量及环形队列中断发送，用内建消息队列中断接收

几款自用的IDEA高效插件

CSS中position属性( absolute | relative | static | fixed )详解

ASP.NET 2.0 ajax中gridView的刷新问题!

心灵小栈：镌刻在地下500米的母爱

js学习总结----crm客户管理系统之项目开发流程和api接口文档

数据结构--数组队列的实现

DIV+CSS一行两列布局

编程上标和下标使用方法

上周新闻回顾：微软补丁个个紧急奥运网络百花齐放

rest-framework之解析器

httpd常用配置

[导入]C#中实现Socket端口复用

数据结构学习系列文章合集

支付宝Payto接口的c#.net实现

【Visual Studio 扩展工具】如何在ComponentOneFlexGrid树中显示RadioButton

如何 SQL Server 2005 实例之间传输登录和密码

IDEA配置GitHub报错GitHub Invalid authentication data.404 Not Found-Not Found

console.log 简写

为何我的BLOG不能DIY?

Java中的自动装箱和拆箱

【Java】身份证号码验证