瑞星技术先锋:杜绝“猫腻”从拆包开始

警惕文件被二次“打包”

　　开卷语:苦于寻找软件激活码，到处搜索“绿色破解”和“完美注册”版本。下载安装后，却发现其中存在大量“猫腻”，轻则同时装入相关广告链接，创建桌面方式，重则直接同步植入木马，利用“后门”上传数据等，所以，杜绝“猫腻”，我们应该先从“拆包”说起……

　　从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了,作为一档技术类分享栏目，在每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭……(更多技术先锋栏目文章）

瑞星技术先锋:杜绝“猫腻”从拆包开始(ZOL:刘晶晶）

　　在上一期技术先锋《瑞星技术先锋:打造杀软“第二道防线”》中，为大家结合相关威胁多会隐蔽在系统启动项或注册表核心键值中的情况，为大家介绍了对应的防护攻略和对应知识。而在本期栏目中，正如开卷语所讲，将为大家介绍在下载软件过程中，如何避免下到被“二次打包”的恶意软件，又如何通过“拆包”来辨别细节，以及通过相关安全软件来判定其中的流氓行为。

　　我们经常在安装某些软件，或解开相关压缩包后，会发现其存在有大量第三方插件、广告程序，甚至病毒程度等等。比如在安装时选择“一路回车”、不注意细节，或者某些下载站受到利益诱使，强制二次打包等等。都会不慎“中招”。但是，很多软件、下载的视频等，太多内容又确实需要，我们也不好直接删除，所以如何对其进行有效辨别？就成为了我们所关注的问题。

　　一、警惕文件被二次“打包”

　　软件作者在将产品研发完成之后，通常包括主程序文件，链接库文件、INI配置、DAT资源库和日志等多个单个文件。若进行分享，则需要将其进行整合，既“打包”操作，一方面整合，一方面方便用户快速完成配置安装，包括可以通过操作系统快速调用，并整合、关联到对应组件等等。

　　目前，很多打包工具，比如使用网上随处可搜的“安装程序制作工具”、ClickTeam Install等工具，都可以轻松实现对应操作。但是，在打包文件的同时，很多作者会因盈利所需，和一些第三方厂商合作，绑定加入插件程序等。导致我们下载相关程序，并执行安装的同时，载入对应的绑定程序，而绑定程序，当前也通常分为如下几种类型。

通过很多“打包”工具可快速生成新程序安装文件

　　1.直接绑定流氓工具，同步安装强制使用

　　很多软件，当前都有绑定流氓工具，比如绑定有一些山寨软件，或强制加入系统当中，替代系统默认工具，比如某些所谓的“看图”工具，会在同步安装的过程中，强制修改文件关联，从而变为默认程序。强制用户使用，通过此类方法来快速抢占用户桌面，达到抢占份额的目的。

　　如：某工具软件绑定自家浏览器，某下载工具绑定自家播放器等。

　　2.间接绑定动态链接，后台自动完成下载

　　考虑因直接绑定，会造成软件体积较大的情况，很多软件，也提供了间接绑定、动态下载的方式，比如某些下载软件，提供有“推荐”下载的勾选提示，一旦用户不慎选中，会自动在后台完成下载，占用带宽资源，造成无谓浪费。

　　如：安装某播放器，推荐下载某词典，不慎勾选后台自动完成下载。

　　3.直接绑定后门程序，试图上传用户隐私

　　和强制安装不同，在安装过程中，快速检测系统潜在漏洞情况。找到隐患点，植入后门程序后，试图上传用户隐私数据，并通过植入到注册表键值和随机启动项、浏览器加载项中，通过预装的窃听程序来对窃取用户的网银、网游密码。

　　如：安装某软件后，被发现自动打开相关后门，开启上传对应数据。

快速制作打包文件

　　当前，很多“安装程序制作”工具，都流传于网络当中，方便软件开发者使用，更便于黑客利用。比如“安装程序制作工具”软件，就提供了通过简单几步，快速生成打包文件的方式。比如我们安装软件后，选择输入/输出工作目录，通过拖拽添加相应文件，如源程序，和希望进行“绑定”的程序之后。自定产品使用生命、设定希望同步写入的注册表键值、并设置相关安装设定后，快速保存工程，并通过“生成安装文件”，快速生成操作。

通过“安装程序制作工具”可快速生成打包文件

可快速制作专属“打包”软件使用生命

设置注册表键值，安装同步写入到相关数据当中

选择安装程序样式、名称，完成打包文件配置工作

　　至此，通过一系列网络流传的打包程序，可以轻松生成二次打包的安装文件，这时将其散播到各类下载站中，通过更为“夸张”的宣传手法，诱骗用户进行下载，并在执行安装的过程中，将流氓插件植入其中。

如何辨别包中猫腻

　　由此可见，二次打包的方法并非很难，通过一些近乎“傻瓜”的安装制作工具，甚至一般菜鸟也能生成对应程序。特别是对于一些对代码和系统较为熟悉的“老鸟”，一旦加入可绕过主流防护，并跳过安全清理工具的代码内容，便会肆无忌惮的对系统构成威胁。对此，如何辨别包中猫腻？也值得我们仔细研究。

　　面对形形色色的“打包”工具，实际我们也可以尝试对其进行反向拆解，既然可以整合，为何不能分离？对此，我们通过一些，如“万能解包工具”等，即可实现对应辨别方式。而在目前提供“拆解”安装包服务的软件中，Universal Extractor无疑是很多朋友的主要选择。

　　Universal Extractor是一款近乎于万能的文件提取器，支持的文件类型多达40多种。无论是简单的压缩文件如zip、rar、7z,还是软件的安装程序如Inno Setup、InstallShield、Winodws Installer，抑或是一些软盘光盘镜像如IMG、ISO，甚至某些加壳的PE文件都可以使用它将打包在其中的文件提取出来.软件的使用十分方便，只需要指定待提取的文件和目标文件夹，Universal Extractor 会自动分析文件类型并提取完成。通过在资源管理器中使用鼠标右键操作，更是可以一键完成提取。

快速通过拆包工具，拆解相关安装包文件

　　通过拆包软件“拆解”完成之后，我们很快就可以看到安装包存在的猫腻所在，比如这个名为“MM乐园”的网页快捷方式，会在安装后，引导用户自动载入此页面，并在桌面、快速启动处生成此快捷图标等。

通过“拆包”工具可以轻松查阅其中潜在威胁

拆包工具同时可以有效破解关键右键菜单限制

　　这样借助一系列拆包软件，我们也可以轻松实现对其的有效识别，当然，看出了猫腻，找到了端倪，我们还需要对其进行清除操作。

如何清除恶意威胁

　　找到了问题，自然要进行处理。对此，我们则可以借助，如瑞星卡卡上网安全助手最新的6.2版本，对其进行有效清理。

　　比如，对于安装包内一些恶意文件，我们在发现无法直接删除时，则可采用瑞星卡卡“文件粉碎”功能快速完成删除。

通过瑞星卡卡“文件粉碎”快速清除恶意威胁

快速执行对相关恶意文件的“粉碎”操作

　　而对于一旦不慎安装，惨遭劫持的系统，瑞星卡卡6.2新版还提供了系统快速修复和完全修复功能，自动修复被篡改和修复的项目。

快速修复被篡改的项目，执行系统快速恢复操作

　　同时，使用卡卡还可快速扫描流氓插件，并对其进行修复操作，比如通过卡卡“扫描流氓软件”功能，我们可以看到，其提供有多重盗号木马程序，同步显示软件名称和危险等级，方便我们快速清除。

通过卡卡“扫描流氓插件”快速清除潜在恶意隐患

　　这样本期《技术先锋》，就为大家介绍了如何有效辨别和应对“二次打包”程序所存在的威胁。当然，对于一般用户来说，真正有效防止中招的方法，还是应该注意选择好的下载服务，如ZOL软件下载频道等，来下载自己所需的软件。

周病毒和木马播报

　　瑞星病毒及木马预警一周播报(2010.03.08－03.14)

　　上千种病毒借“兽兽”“张雅茹”等不雅视频传播数十万好奇网民中毒

　　据瑞星“云安全”系统统计，本周瑞星共截获了74万个挂马网址。瑞星反病毒专家介绍，近期互联网上开始大量疯传“兽兽门”、“张雅茹”和“工行女”等不雅视频，大量网民在网上搜索下载观看，导致成为搜索引擎中的最热门内容。目前瑞星“云安全”已经截获上千种利用不雅视频进行捆绑传播的恶性病毒。用户如果下载观看后，便会立即感染，导致电脑系统死机无法正常运行，个人账号密码被盗，甚至丢失自己所有隐私信息。

　　本周关注的被挂马网站：

　　“中国消费网”、“南海网”、“海南新房产网”等网站的部分页面曾被黑客挂马，黑客利用微软最新漏洞和服务器不安全设置进行入侵。用户访问这些页面后，可能会感染恶性“后门”。

　　本周关注病毒：

　　“安德夫木马下载器（Trojan.DL.Win32.Undef.rrw）”警惕程度★★★

　　“云安全”系统共收到77885次用户上报。该病毒通过网络传播，病毒会从黑客指定网站下载各种木马、病毒等恶意程序，破坏电脑操作系统，盗窃用户个人信息。

　　防范方法：

　　1、使用"瑞星全功能安全软件2010"，有效阻挡通过网页挂马方式传播的病毒；

　　2、安装卡卡上网安全助手6.2自动修复漏洞；

　　3、同时可拨打客服热线400-660-8866咨询，访问客户服务中心网站（http://csc.rising.com.cn）寻求帮助，使用在线专家门诊获得即时支持。

　　编辑点评：

　　在本期ZOL&瑞星技术先锋栏目中，为大家介绍了如何快速、有效辨别被“二次打包”的恶意程序。同时为大家介绍了瑞星系列安全产品在这些方面的优势所在。作为ZOL软件事业部安全行业品牌栏目 - ZOL&瑞星技术先锋栏目将长期举办，邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧，敬请广大网友期待！也非常希望您能给参与到我们的栏目中来。