病毒的障眼利器──文件合并工具

网络与通信

飘零雪

随着网友安全意识的提高，一般情况下，已不会轻易运行陌生人发来的可疑执行文件了。因此，不少黑客开始借助文件合并工具将木马或病毒与其他比较具有吸引力的正常程序合并在一起，以增强其隐蔽性。在大多数情况下，将EXE格式的Flash动画或趣味小游戏等与木马或病毒合并在一起的情况居多。当目标用户欣赏Flash动画或玩游戏的同时，隐藏在其中的“黑”软件就会被激活。
笔者为大家推荐的第一款软件是《开山文件合并器》。在同类软件中，笔者感觉这款软件最为优秀。它与其他文件合并工具最大的区别在：该软件对于合并的文件没有数量上的限制；而且在合并过程中，还能够以较高的压缩比率缩小文件的体积。仅这两点，就已令人刮目相看了。《开山文件合并器》目前的最新版本是3.0，文件大小245KB，其下载地址为http://misky.myetang.com/fcombine30.zip。《开山文件合并器》属于共享软件，未注册的用户只有十次使用权。
《开山文件合并器》的程序界面如（图1）所示，其操作方法如下。

小巧精干的文件合并工具

Binder by FC是一款仅有25.8KB的英文软件，它是由美国的一个高级黑客编写的，大家可以登录网站(http://wjxf.yeah.net)下载。
Binder by FC启动后的界面如（图5）所示，整体布局清晰明了。首先，查看“Files”项目，点击“First file”后的“…”按钮，打开准备合并的第一个文件(即宿主文件)，再依次在“Second file”中选择准备合并的第二个文件(即寄生文件)，在“Icon file”中可选择合并后的文件图标。最后，点击“Join Them”按钮，在弹出的“Save merged files to”对话框中为合并后的新文件命名并选择保存路径(（图6）)。

老牌的文件合并工具

若说起国产文件合并工具，不得不提到的就是蔬菜工作室制作的《EXE捆绑机》，这可以说是一款元老级的软件，在相当长的一段时间内，此软件是黑客的必备工具之一。《EXE捆绑机》的文件大小有151KB，下载地址为：http://ouroicq.myetang.com/softdownload/exebinder.zip。
笔者在使用中发现，有相当一部分的文件合并工具合并后的文件图标的颜色会出现不同程度的丢失，这很容易引起目标用户的怀疑。而有一款软件(Bind File)的特点就在于合并程序后的图标与宿主程序图标如出一辙，不会出现颜色的丢失(这点比Binder by FC都要略胜一筹)。Bind File的文件大小为121KB，下载地址是：http://202.102.4.17/rina/521hacker/other/bindfileexe10.zip。

功能全面的文件合并工具

常规意义上的文件合并工具，都是只能将两个EXE可执行程序合并在一起。下面，笔者介绍的下面这款软件却可以将任意格式的文件与木马、病毒合并为一个新文件。首先为大家介绍的是Joiner，该软件不仅在文件合并方面范围广泛，而且当执行合成后的文件时，会立即发送ICQ讯息到使用者设定的ICQ号码里，也包括IP地址。Joiner的文件大小有442KB，下载地址为：http://202.102.4.17/rina/521hacker/bind/join_155c.zip。
由于Joiner是一款繁体中文软件，所以若想正常查看程序界面，需要启用金山快译、南极星等翻译软件的Big5码支持。
总结：笔者为大家介绍的几款文件合并工具虽说功能上大同小异，不过，在某些方面有其各自独特的优势存在。虽然笔者所了解到的文件合并工具还不算很全面，但从一个侧面也能够反映出当前木马、病毒的伪装能力之高，真是令人防不胜防，大家可要提高警惕了。
其实文件合并工具不论如何变换花样，合并后的文件都是EXE格式，总会让人有迹可寻。但听说还有一款更为恐怖的软件，它可把EXE或者ZIP文件隐藏到可正常显示的GIF文件中。如果你不幸遇到了这种情况，就只有祈祷了。