将木马捆绑在正常程序中,一直是黑客入侵攻击的一种常用手段。黑客们常常使用一些特殊的文件捆绑器程序,比如EXEbind、Hammer binder等,将指定的木马程序捆绑到一个广为传播的热门软件上,使其在网络上传播。
预防文件捆绑攻击的办法有两个,不要从非正规网站上下载执行不可靠的软件程序;记住一些常用软件的文件大小,一旦发现文件大小有变化时,即可判断该程序被捆绑过其它的程序。这两个方法对支持盗版的菜鸟来说,基本上没有什么实施的可能性。因此只有使用最后一招,使用专门的文件捆绑分析工具啦!
一、MT捆绑克星
看清文件捆绑
MT捆绑克星通过分析程序的文件头特征码,可以查看文件是否捆绑了木马,一切捆绑木马的程序在它的火眼金睛下,将全部现形。
MT捆绑克星非常小巧,使用也很简单,运行程序后,点击界面上的“浏览”按钮,浏览选择硬盘中需要进行检测的可执行文件。然后点击界面上的“分析”按钮,捆绑精灵就会自动对程序进行分析了,在中间的窗口中会显示出分析的结果。在分析的结果中,我们可以看到文件的大小,以及文件头中可执行的头部数(如图1)。这个分析结果很重要,在正常的程序中,可执行的头部数一般为1个,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的,那你可要小心啦!
小提示:在界面中还有程序分析选项,一般勾选分析“文件头”即可,如果想分程序进行全面的检测,可再勾上“输入表”项目。另外这个小巧的软件还提供了界面更换方案,在右边的下拉列表中可以选择更换为Windows XP或MacOS几种界面方式。
以后再碰到什么可疑的程序,就可以请出MT捆绑克星了,它一定会无一遗漏地为你查出捆绑在文件中的病毒和木马程序。
二、揪出捆绑在程序中的木马
如果检测出程序被捆绑了木马,当然是毫不留情地将程序给删除掉,可偏偏碰巧这个程序就是你急需的怎么办?那就可以让“Fearless Bound File Detector”这个程序来大显神威了。
Fearless Bound File Detector不仅可以检测捆绑在程序中的木马病毒,还可以将其从程序中清除出去。这个小工具的使用方法也非常简单,运行后浏览选择需要检测的程序或文件,然后点击界面中的“Process”按钮,对文件进行分析。很快就可以看到分析的结果(如图2)。
第一句表示发现了捆绑程序,及其在程序代码中所处的位置;第二句表示捆绑的程序文件大小。
既然发现了这个程序捆绑了木马,那么我们就要来清除它了。点击界面上的“Clean File”按钮,弹出警告对话框(如图3),因为在清除的过程中有可能对源程序造成破坏,所以询问是否真的要清除文件中被捆绑的程序。如果确定清除后,可以看到开始清除工作了,最后在中间的窗口中显示清除操作是否成功(如图4)。清除Successfully成功了,现在程序已经干净了,可以毫无顾虑的执行程序了。
“Fearless Bound File Detector”比较独特的地方还在于,它不仅可以检测EXE程序文件,还可以对图片和其它各种格式的文件进行检测,对付图片木马尤其有效!
