这种原理很简单,也是用的最多的一种。就是将B.exe附加到A.exe的末尾。这样当A.exe被执行的时候,B.exe也跟着执行了。这种捆绑器的代码是满网都是。我最早是从jingtao的一篇关于流的文章中得知的。已经没什么技术含量了。
就这原理也很简单。大部分检测器是检测不出来的,但
灰鸽子木马辅助查找可以检测出捆绑后未经加壳处理的EXE文件。但一般人都会加壳,所以也十分不可靠。这个学过编程或者了解PE结构的人都应该知道。资源是EXE中的一个特殊的区段。可以用来包含EXE需要/不需要用到的任何一切东西。利用这个原理进行100%
免杀捆绑已经让人做成了动画。
大家可以去下载看看。那捆绑器是如何利用这一点的呢?这只需要用到
BeginUpdateResource、
UpdateResource和
EndUpdateResource这三个
API函数就可以搞定。这三个API函数是用来做资源更新/替换用的。作者只需先写一个包裹捆绑文件的头文件Header.exe.头文件中只需一段释放资源的代码。而捆绑器用的时候先将头文件释放出来,然后用上面说的三个API函数将待捆绑的文件更新到这个头文件中即完成了捆绑。类似原理被广泛运用到
木马生成器上。
检测方法:一般这种很难检测。如果你不怕麻烦,可以先将
目标文件进行脱壳。然后用“
灰鸽子木马辅助查找”或“ResTorator”一类工具将资源读出来进行分析。但这种方法毕竟不通用。
暂时不知用什么名字来形容,所以只能用这个来代替。这种方法相当的阴险。是将要捆绑的文件转换成16进制保存到一个
数组中。像这样muma:array[0..9128] of Byte=(D,A,....);然后用时再用API函数CreateFile和WriteFile便可将文件还原到硬盘。这里稍稍学过编程的都知道。代码中的数组经过
编译器、连接器这么一搞。连影都没了。哪还能有什么文件是吧?所以就这种方法而言,还没有可以查杀的方法。这种方法可以利用编程辅助工具jingtao的DcuAnyWhere或Anskya的AnyWhereFileToPas来实现。
最最毒辣的一种。因为暂时用的人较少,且危害性及查杀难度太大。[一个被杀的病毒直接捆绑就能
免杀]所以就不公布了。此法查杀方法通用性极差。如果流行,估计大家连动画都不敢下着看了。
可以利用一些第三方工具将硬盘和注册表监视起来以后再运行那些你不确定是否被捆绑的程序。这样,一旦硬盘出现变化,或有文件新建,或有文件改变都会被记录在案。就算是查找起来也方便一点。