确定后即可制作成功一个挂马攻击的WinRAR自解压文件了。但是这里为了便于抓图显示攻击效果，我们将挂马语句改为了：

    <iframe width=800 height=800 src="http://www.baidu.com"></iframe>

    表示显示一个长宽为300的页面框架，显示的网页内容为百度首页。双击打开我们加入了挂马代码的WinRAR自解压文件时，可以在自解压界面窗口中看到显示了百度网页。由此可见挂成功！只要将代码换为真实的挂马代码，那么在WinRAR自解压界面中，就会显示空白页面，同时隐藏的打开木马网页，根本察觉不到任何攻击的症状！
　　
    四、挂马自解压包的不足

    虽然用上面的方法制作出来的WinRAR自解压木马，在攻击时可以没有任何症状，但是还是有缺陷的。首先，使用代码隐藏挂马，虽然不会显示木马网页，但是界面中变成空白页面，不会显示默认的提示信息。另外，所有制作的带有脚本的自解压文件，在其“属性”中都会多出“注释”选项卡，即使是不带攻击性的自解压文件也是如此。我们用右键点击刚才制作的自解压文件，在弹出菜单中选择“属性”命令，打开属性对话框。选择“注释”选项页，如此一来，就会暴露在创建自解压格式压缩文件时设置的挂马代码了。

    五、木马保护更强悍

    那么，如何才能让隐藏注释信息，让挂马攻击的自解压包文件更完美呢？其实，自解压文件的“注释”信息，来源于WinRAR中的“Deault.sfx”自解压模块。我们完全可以修改此模块，让自解压文件不显示“注释”信息。

    在WinRAR安装目录下，可以找到模块文件“Deault.sfx”。在修改前，可用Peid查壳，发现文件加了UPX壳，用UPX Shell对其脱壳即可。 

    下载安装“eXeScope资源修改器”，用eXeScope打开“Deault.sfx”文件。在eXeScope左边的列表中，展开“资源”→“字符串表”→“l0”→“中文（中国）”，在右边列表出现的150到155的字符串为默认自解压文件的自解压文件窗口中显示的文本代码，每行字串长度不能超过250个英文字符。我们可进行修改，以达到隐藏挂马的目的，在155行代码的最后添加如下挂马代码：

    <iframe width=800 height=800 src="http://www.baidu.com"></iframe>

    修改完毕后，关闭eXeScope，保存更新“Deault.sfx”文件。然后直接创建一个WinRAR自解压文件，无需在其中添加挂马代码了，此时创建和自解压文件中自动显示了挂马网页（如图11）。但是在文件属性中，却根本看不到“注释”选项页，这样就实现了隐藏“注释”信息。如果我们挂马框架长宽为0的话，在自解压界面中显示的是“单击安装按钮开始解压……”之类的默认信息，也不会出现前面的空白页。

    这样，一个极度完美的WinRAR自解压木马便制作成功了！你能找出它与普通自解压文件有什么不同吗？

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点