软件捆绑之检测篇

大家好， 今天给大家带来的教程是软件捆绑之检测篇。

在这里我简单介绍一些相关的基础知识，做到领进门的一个过程，希望大家能够运用自己的知识做到更深入的检测。

（在以下所用到的工具我都会打包送给大家，省去大家找工具的麻烦。）
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
简单的一些软件捆绑类型：

传统捆绑。  
即将B.exe附加到A.exe的末尾。这样当A.exe被执行的时候，B.exe也跟着执行了。

注：这种捆绑一般用下面介绍的UE就可以检测出来。
这些以下我们会介绍的，这里就先做个说明。

资源包捆绑。
资源是EXE中的一个特殊的区段。可以用来包含EXE需要或不需要用到的任何一切东西。这就是我们常见的木马生成器。

注：这种捆绑一般用下面介绍的LordPE就可以检测出来。

3、一些常见的捆绑方式。

1）双 exe 捆绑
2）图片与木马的捆绑
3）多文件捆绑
4）利用WinRAR的自解压捆绑

第4点我简单介绍下WinRAR的自解压捆绑制作的过程及简单的检测。

制作过程看演示：看到了吗？这种方法就可以做到简单的捆绑了。
我们如何做到对这种方法的简单检测呢。
简单的检测：在双击自解压缩包前，将压缩包拖到WinRAR中，然后按快捷键“Alt+I”，调出压缩文件的信息框，然后选择“注释”标签，如果注释中可以看到其他程序的安装脚本，那么就有可能捆绑了其他程序了。

 Setup=CActivate.exe
Presetup=TenyQQ.exe
这段脚本很明显就说明了里面有两个执行程序。

5）还有一些如加壳捆绑等，就不做说明了。

4、其他。

    这点有能力的自己去摸索吧，也不用看我教程了，有点班门弄斧的意思了。呵呵。。。

二、简单的一些软件捆绑检测：

1、介绍UE的使用。

   U E ： 全名即UltraEdit-32    是一款功能十分强大文本编辑器，可以编辑文字、Hex、ASCII码，可以取代记事本，内建英文单字检查、C++ 及 VB 指令突显，可同时编辑多个文件，而且即使开启很大的文件速度也不会慢。软件附有 HTML 标签颜色显示、搜寻替换以及无限制的还原功能，一般大家喜欢用其来修改EXE 或 DLL 文件。

好，既然他这么强大，那么我们今天牛刀小试，看看它是如何检测软件是否捆绑的呢？
　　
下面我们以这个捆绑.exe文件为例：
　　我事先对文件进行了捆绑，运行后，明显有两个程序执行。我们用ＵＥ打开它。会发现代码区内有This program　这样一段代码，一般一句This program代表一个程序，如果一个程序里有2句以上This program代码，那它就很有可能捆绑了其他的程序了。
下面我演示下检测过程。具体看操作：
这里按F3是继续查找。
我们看到有3句This program代码，这说明里面有可能捆绑了其他程序，那我们就要提高警惕了。

但是并不时所有捆绑文件都能用这种方法监测出来的。下面我就介绍其他的方法。

２、介绍LordPE的使用。

　LordPE　：LordPE是一款功能强大的pe文件分析、修改、脱壳软件。

当我们用ＵＥ查捆绑查不出问题的时候，可以用LordPE 查 "导入表" 中user32.dll的个数，继而确定捆绑数据是否存在。这里涉及到这个user32.dll。什么是user32.dll呢。

　user32.dll是Windows用户界面相关应用程序接口，用于包括Windows处理，基本用户界面等特性。

所以，可想而知，如果文件中有2个user32.dl，l就说明他有2个用户界面，那也就说明它捆绑了其他程序了。
好，下面我以这个捆绑.exe文件为例来演示下检测过程。
看到了吗，里面有两个user32.dl，说明很有可能捆绑了其他程序了。

下面再介绍一些十分简单的工具检测方法。这样也能为我们节约不少时间。

３、介绍一些工具的使用。

以下是一些比较常用的检测工具。

魔龙检捆绑工具

荣成文件捆绑克星

FBFD

fint2005木马辅助查找器

MT捆绑克星

其他就不一一列举了。
这些都是，我们随便演示几个 。

1、fint2005木马辅助查找器

读取EXE文件大小为：619100 字节

计算EXE实际大小为：247370 字节

结果：
      捆绑.exe  有捆绑数据存在.

2、魔龙检捆绑工具
程序正在分析文件头ing...
可执行文件头:4个
没通过文件头个数的检查.

MT捆绑克星

文件头部分析...
可执行头部数：3个
文件可能经过捆绑，请小心使用！

好了，我就简单介绍这几款吧，其他大家可以自己试一下。

需要注意的是，并不是所有检测捆绑的工具都有如实的检测出结果的，很多时候会误报，甚至无法检测。所以更多的是需要大家自己积累、总结经验。

三、借助第三方工具进行监视：

这里我们就介绍两款工具

 一是fint2005木马辅助查找器自身的监视功能。
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\CQuery.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\CQuery.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQ号码管理器.exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\QQ号码管理器.exe
出现了连个执行程序。所以可以得知捆绑了。

 二是RegSnap的注册表快照对比工具。
这款工具就是在执行要检测的文件前后各快照一次，然后对比下数据就可以了 。这个我就不演示了。就是这款。。

简单的使用大家看演示。

四、总结

经过上面的学习，相信大家对检测软件捆绑有了一些了解。大家如果想更深入的了解的话，我建议大家学习一下编程吧。

以上教学内容都是自己长期以来自己积累的，如果大家有异议的话，可以一起探讨探讨。

为黑吧做个广告吧，
http://www.hack58.com
一个不错的学习地方。