windows10怎么查杀顽固木马（windows怎样为电脑打造“免检”木马）

大家好，精选小编来为大家解答以上的问题。windows10怎么查杀顽固木马，windows怎样为电脑打造“免检”木马很多人还不知道，现在让我们一起来看看吧！

IExpress用于修改msi安装包中的cab文件。它有最好的兼容性。其他cab工具用于将文件打包到cab中，然后在msi中用cab文件替换它。经常出错，所以不存在这个问题。

下载：软件名称：IExpress(微软自解压包创建工具)2.0中文绿版软件大小：485KB更新时间：2016年9月21日

起源：微软

功能：专门制作各种CAB压缩和自解压包的工具。

因为是Windows自带的程序，所以制作出来的安装包兼容性很好。它可以帮助木马传播者制作不被杀毒软件查杀的自解压包，一般情况下还可以伪装成一些系统软件的补丁(比如IE的hotfix)来迷惑人。

哪里可以找到永不被杀的绑定方法或者工具？远在天边，近在眼前。别忘了窗户，你和它朝夕相处。这次要介绍的绑定工具是Windows自带的一个小软件IExpress(适用于2000和XP系统)。

原则

IExpress通过使用各种不同的自解压文件技术来打包软件更新文件。这些自解压软件包可以自动运行软件包中包含的EXE程序。IExpress技术是微软使用的一种技术，用于为某些版本的Microsoft Internet Explorer、某些版本的Windows和许多其他产品创建软件更新包。

如何确定一个软件更新包是否使用IExpress？该方法如下：

1.右键单击包，然后单击属性。

2.在“常规”选项卡中，检查描述。使用IExpress技术的软件更新包将包含“Win32 Cabinet Self-Extractor”字样。

实际操作

在这一部分，笔者将以实例的形式详细讲解绑定木马的全过程。

第一步

在运行对话框中输入IExpress启动程序(图1)。

一开始有两个选项供你选择，一是新建一个自解压指令文件，二是打开保存的自解压模板”。sed”文件。我们应该选择第一个项目，然后单击“下一步”按钮。

第二步

接下来选择制作木马自解压包的三种打包方式(图2)，分别是建立自解压并自动安装压缩包(解压文件并运行一个安装命令)、建立自解压压缩包(仅解压文件)和建立CAB压缩包(仅创建压缩包)。

因为要做木马解压包，所以要选择第一种。输入压缩包标题后，点击“下一步”按钮。

第三步

在“确认提示”环节，软件会询问是否提示用户在拆包木马程序前进行确认。由于我们正在进行木马程序的解包，当然越隐蔽越好。选择第一项“无提示”。这样做的目的是让新兵毫无准备。点击“下一步”按钮，在下一个“许可协议”中添加一个伪装的用户协议，选择“显示一个许可”点击“浏览”选择一个编辑好的TXT文档，可以用微软的名字编辑。设置完成后点击“下一步”。这一步的目的是迷惑对手，隐藏木马安装过程。

第四步

现在，我们在打包文件窗口中。单击此窗口中的“添加”按钮，添加特洛伊木马和将与特洛伊木马捆绑在一起的合法程序。根据刚刚编辑的协议文件的内容添加一个法律程序。比如你的协议和IE service pack有关，那么你可以添加木马和一个正常的IE service pack。

然后进入安装程序选择窗口，指定解压后的包开始运行的文件(安装程序)和安装后运行的程序(安装后命令)。比如在安装程序中，设置普通IE服务包先运行。此时木马并未运行，在中招者眼中确实是一个IE服务包。在post install命令中设置木马程序，这样在安装IE补丁包时，木马程序就会在后台执行，我们的目的就达到了。

第五步

接下来，选择安装期间软件的显示模式(显示窗口)。由于我们的特洛伊木马捆绑了合法程序，只需选择“默认”。接下来，设置完成消息的显示。由于我们做的是木马捆绑安装程序，当然要选择“无消息”。

第六步

以上设置完成后，再设置自解压程序的保存位置和名称。在这里选择“隐藏文件从用户提取进度动画”来隐藏解压缩过程。

　　在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

　　整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了（格式为EXE），直接双击即可运行。你再用杀毒软件查一查。怎么样？已经完全不会被查出来了吧。

　　现在还等什么？赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

　　不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

　　防范措施

　　可以先检查可疑的程序包是否采用了IExpress技术（“原理”部分已介绍）。如果采用了IExpress技术，那么你就得留心了，此时可以进入命令提示符下使用“IExpress /c”命令来解压缩文件（不进行安装）以检查程序包中是否有木马，同时还可加上参数“/t:path”指定解压路径。

　　编后：

本文到此结束，希望对大家有所帮助。