推荐度：★★★★★

前几天在《X》上看到一篇文章，很受启发，现与大家共同分享：
     大家都知道自解压是怎么回事吧，WinRAR的自解压功能是专门为了解决在安装有WinRAR软件的此机上压缩的压缩文件当移植到未安装WinRAR软件的彼机上时发生“无法打开文件”的尴尬问题的。但是，话又说回来了：现在的WinRAR早已成为“装机必备”了，哪还有这些问题，是问题也早已成为历史了。但是现在仍然存在许多加工后的软件是自解压格式的，在打开这种文件格式的文件时要格外小心，因为里面可能暗藏木马、病毒等一些恶意程序，打开时请右键选择“用WinRAR打开”，见图1：
                            

                                                                        图1

打开后发现有四个可执行文件，这时你就应该大概判断一下哪个文件是可疑文件了：

                                                                           图二  
这种自解压文件可以在自解压完成之后自动运行先前设定好的程序，因此常用来携带木马。还记得有曾经在X上说遇见用C编写成，使用了RAR自解压文件的图标做成的木马，其实在我看来这种伪装一点都不实用，因为现在很少人会直接运行自解压文件了，他们总是先右键“用RAR打开”看看里面到底是什么。
    但是大家有没有想过，如果有文件可以正常用右键查看解压，里面也看不到什么木马、病毒等恶意程序，那么是不是就认为该自解压文件是安全的呢？（问题就在于此了，这也是本文的精华所在！）
实现结果：假设自作木马如client.exe，再准备一个正常文件如ttplayer.exe：做成的自解压文件双击其运行木马程序client.exe，用右键“用RAR打开”将看到正常文件ttplayer.exe，是不是很NB啊？彻底将RAR自解压欺骗玩到底了！
    原理：1、自解压的RAR文件实际上是将一个非解压的RAR文件作为附加数据合并进一个exe程序程序里，这个exe程序运行后寻找RAR文件的文件头（如下例所说的52617221A07这串数字）并从这里向下解压缩。我们修改文件后的exe程序可以识别修改后的文件头（核心原理），而右键用到的是本机内的RAR解压缩程序，自然也就无法识别修改后的文件头，从而没有“用RAR打开”这个菜单！2、而后来使用WINHEX粘贴上去的RAR文件的状况则恰恰相反，RAR正好打开的就是可以识别的正常的文件TsakManager.rar（合法的具有RAR头文件的RAR文件），所以直接执行自解压文件和使用RAR打开自解压文件的结果会不一样。看到的和释放的并不是一个程序，是不是自解压文件“心口不一”呀！“用RAR打开”看到的是合法的文件ttplayer.exe；用自解压的是真正的病毒文件。
    操作：好了，说了那么多的废话，该实践了，我这个人看不到结果心不甘，所有未实践的理论都是LAJI，闲话不多说了，开始吧。哦对了网上的美化版的WinRAR是不能用的，因为它压缩出来的自解压文件是经过加壳的，会影响后面的操作。
    为了方便起见，我选了两个小软件：TaskMaxe和sncopy.exe。前者是一个进程和管理软件，后者是一个填写序列号的软件。首先用WinRAR压缩sncopy.exe为自解压文件，并设置“完成后自动运行该文件”生成自解压格式的文件sncopy.sfx.exe。
（一）使用WINHEX软件
打开该文件，搜索查找文本：RAR!

 

                                                                         图三
将61修改为05见下图：

                                                                    图四  

是不是发现原来的RAR!头部已经面目全非了啊？【注意】这样修改，说明某些软件已经不再识别它了，至少WinRAR软件是不会正常解压它了！不信的话见下图四：

                                                                      图五
    WinRAR不识别的表象是右键不能实现“用RAR打开”的功能，并且这样修改保存的sncopy.sfx.exe自解压文件是不能用的（通常我们按正常的思路能推理到这个结果）见图五：

                                                          图六
然后保存：如图六

                                                                      图七
你可以试一下，如果再用这个软件打开的话，“搜索RAR！”将一无所获：如图七：

                    图八
（二）使用Ollyice软件（一个强大的反汇编软件）
用这个反汇编软件，可以查看我们刚才修改过的不能用的自解压文件sncopy.sfx.exe的反汇编信息：解铃还须系铃人,是的！我下面说下将这个“整容”过的MM“康复”过来。
    具体操作过程是：用ollyice打开sncopy.sfx.exe文件（刚处理过的），在软件界面任意处右键->“Search for”->“Constant”(常量)：

                                                                         图九
然后查找十六进制常量52 (因为一般正常的RAR文件头部都是由字符串“526172211A07”组成的，而以52开始（这个问题见上图三和解释附图）) 见图十：

                  图十
【注意】这时显示的并不是你要的结果你要做的是按下Ctrl+L继续查找十六进制数00000052，大概按下两下既可找到久违的熟悉面孔：双击cmp byte ptr[edx+1],61这一行（因为我们刚开始将61修改为05了嘛！所以有对症下药。）见图十一：依然将61改为05。

                                                                     图十一
【注意】修改后再在软件界面的任意空白处右键->“Copy to executable”->“All modifications”，在随后的弹出界面选择“Copy all”见下图组：

                                                                          图十二
选择“是”，将我们出炉的sncopy.sfx.exe保存下来，见下图十三：

                                                          图十三
运行看看我的大作，见图十四：

                   

                                    
                                                                               图十四
    我们注意到：这个看似被我通过修改RAR头部而损坏的自解压文件变得“焕然一新”了，不但可以解压，还能够使用，见下图：
         

                                                                          图十五

  

                               图十六
【解释附图】    
新建文本文档的压缩后的RAR头部：

                                                                     附图一
新建Word文档的压缩后的RAR头部：

                                                                           附图二
应用程序TaskManager进程管理软件的压缩后的RAR头部：

                                                                       附图三