瑞星技术先锋:杜绝“猫腻”从拆包开始

　　开卷语:苦于寻找软件激活码，到处搜索“绿色破解”和“完美注册”版本。下载安装后，却发现其中存在大量“猫腻”，轻则同时装入相关广告链接，创建桌面方式，重则直接同步植入木马，利用“后门”上传数据等，所以，杜绝“猫腻”，我们应该先从“拆包”说起……

　　从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了,作为一档技术类分享栏目，在每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……(更多技术先锋栏目文章）

瑞星技术先锋:杜绝“猫腻”从拆包开始(ZOL:刘晶晶）

　　在上一期技术先锋《瑞星技术先锋:打造杀软“第二道防线”》中，为大家结合相关威胁多会隐蔽在系统启动项或注册表核心键值中的情况，为大家介绍了对应的防护攻略和对应知识。而在本期栏目中，正如开卷语所讲，将为大家介绍在下载软件过程中，如何避免下到被“二次打包”的恶意软件，又如何通过“拆包”来辨别细节，以及通过相关安全软件来判定其中的流氓行为。

　　我们经常在安装某些软件，或解开相关压缩包后，会发现其存在有大量第三方插件、广告程序，甚至病毒程度等等。比如在安装时选择“一路回车”、不注意细节，或者某些下载站受到利益诱使，强制二次打包等等。都会不慎“中招”。但是，很多软件、下载的视频等，太多内容又确实需要，我们也不好直接删除，所以如何对其进行有效辨别？就成为了我们所关注的问题。

　　一、警惕文件被二次“打包”

　　软件作者在将产品研发完成之后，通常包括主程序文件，链接库文件、INI配置、DAT资源库和日志等多个单个文件。若进行分享，则需要将其进行整合，既“打包”操作，一方面整合，一方面方便用户快速完成配置安装，包括可以通过操作系统快速调用，并整合、关联到对应组件等等。

　　目前，很多打包工具，比如使用网上随处可搜的“安装程序制作工具”、ClickTeam Install等工具，都可以轻松实现对应操作。但是，在打包文件的同时，很多作者会因盈利所需，和一些第三方厂商合作，绑定加入插件程序等。导致我们下载相关程序，并执行安装的同时，载入对应的绑定程序，而绑定程序，当前也通常分为如下几种类型。

通过很多“打包”工具可快速生成新程序安装文件

　　1.直接绑定流氓工具，同步安装强制使用

　　很多软件，当前都有绑定流氓工具，比如绑定有一些山寨软件，或强制加入系统当中，替代系统默认工具，比如某些所谓的“看图”工具，会在同步安装的过程中，强制修改文件关联，从而变为默认程序。强制用户使用，通过此类方法来快速抢占用户桌面，达到抢占份额的目的。

　　如：某工具软件绑定自家浏览器，某下载工具绑定自家播放器等。

　　2.间接绑定动态链接，后台自动完成下载

　　考虑因直接绑定，会造成软件体积较大的情况，很多软件，也提供了间接绑定、动态下载的方式，比如某些下载软件，提供有“推荐”下载的勾选提示，一旦用户不慎选中，会自动在后台完成下载，占用带宽资源，造成无谓浪费。

　　如：安装某播放器，推荐下载某词典，不慎勾选后台自动完成下载。

　　3.直接绑定后门程序，试图上传用户隐私

　　和强制安装不同，在安装过程中，快速检测系统潜在漏洞情况。找到隐患点，植入后门程序后，试图上传用户隐私数据，并通过植入到注册表键值和随机启动项、浏览器加载项中，通过预装的窃听程序来对窃取用户的网银、网游密码。

　　如：安装某软件后，被发现自动打开相关后门，开启上传对应数据。