今天朋友突然想我求救，說(shuō)網(wǎng)絡(luò)游戲傳奇世界的號(hào)被盜了，由于朋友是在家上網(wǎng)，排除了在公共場(chǎng)所帳號(hào)和密碼被別他人瞟視的可能。據(jù)朋友所說(shuō)，在被盜的前一個(gè)多小時(shí)，在網(wǎng)上下載了一個(gè)網(wǎng)友的照片，并打開(kāi)瀏覽了，但是出現(xiàn)的確實(shí)是網(wǎng)友的照片，并且是用“Windows　圖片和傳真查看器”（朋友家是XP系統(tǒng)）打開(kāi)的，這也可以肯定一定是圖片文件。朋友還告訴筆者后綴名是.gif，很顯然是圖片文件，朋友的電腦也沒(méi)有安裝殺毒軟件，并且最重要的是那個(gè)文件還沒(méi)有刪。
筆者便讓朋友把那個(gè)文件通過(guò)ＱＱ發(fā)了過(guò)來(lái)，發(fā)送的時(shí)候筆者在ＱＱ顯示文件名中發(fā)現(xiàn)了那個(gè)文件并不是gif文件，而是exe文件，文件名是：我的照片.gif.exe，并且它的圖標(biāo)也是圖片文件的圖標(biāo)，見(jiàn)圖1。[attach]158862[/attach]

筆者認(rèn)為朋友的電腦應(yīng)該打開(kāi)了“隱藏已知文件類型的擴(kuò)展名”（大家可以在“我的電腦”菜單中“工具→文件夾選項(xiàng)→查看→高級(jí)設(shè)置”中設(shè)置，見(jiàn)圖2，
[attach]158863[/attach]
所以告訴我后綴名是gif。筆者無(wú)意中右點(diǎn)了下這個(gè)文件，發(fā)現(xiàn)可以用“WinRAR打開(kāi)”，于是筆者就用WinRAR打開(kāi)了，發(fā)現(xiàn)里面含有兩個(gè)文件——我的照片.gif和server.exe，可以肯定這server.exe就是木馬，也就是朋友盜傳奇世界號(hào)的罪魁禍?zhǔn)住?br />



由于可以直接用WinRAR打開(kāi)，筆者斷定它就是由WinRAR制作的，現(xiàn)在筆者就開(kāi)始解密它的制作過(guò)程。首先要有圖片文件的ico（圖標(biāo)）文件（可以使用其他軟件提取，筆者就不在這里講述詳細(xì)過(guò)程了），如圖3。

[attach]158864[/attach]把圖片文件和木馬都選定，右點(diǎn)，選擇“添加到檔案文件”（WinRAR的選項(xiàng)），見(jiàn)圖4，

[attach]158865[/attach]

在“檔案文件名”那輸入壓縮后的文件名，比如：我的照片.gif.exe，后綴如果為.exe就可以直接執(zhí)行，如果不是.rar就會(huì)打開(kāi)WinRAR，所以這里最后的后綴為.exe，根據(jù)自己的需要選擇“壓縮方式”，然后點(diǎn)擊“高級(jí)”標(biāo)簽，選擇“SFX　選項(xiàng)”，見(jiàn)圖5，
[attach]158866[/attach]
在“釋放路徑”中填入你需要解壓的路徑，筆者這里填的是“%systemroot%\temp”（不包括引號(hào)），表示解壓縮到系統(tǒng)安裝目錄下的temp（臨時(shí)文件）文件夾下，并且在“安裝程序”的“釋放后運(yùn)行”輸入“server.exe”（不包括引號(hào)），在“釋放前運(yùn)行”輸入“我的照片.gif”（不包括引號(hào)）。






這樣在解壓縮前將會(huì)打開(kāi)我的照片.gif這個(gè)文件，造成朋友對(duì)文件判斷的假象，會(huì)認(rèn)為它就是一個(gè)圖片文件，而釋放完以后便會(huì)自動(dòng)運(yùn)行木馬（即server.exe）。在“模式”標(biāo)簽的“緘默模式”中選擇“全部隱藏”，“覆蓋方式”中選擇“覆蓋所有文件”，在“文字和圖標(biāo)”標(biāo)簽的“自定義SFX圖標(biāo)”，載入剛才所準(zhǔn)備的圖片文件的ico文件，然后點(diǎn)擊“確定”即可，這樣即天衣無(wú)縫的制作了一個(gè)捆綁圖片的木馬。當(dāng)打開(kāi)這個(gè)文件時(shí)，會(huì)先運(yùn)行圖片文件，再自動(dòng)打開(kāi)木馬文件，中間不會(huì)出現(xiàn)任何提示。
注：希望廣大朋友不要進(jìn)行非法用途，在這里解密木馬捆綁是希望大家了解其原理。