利用WinRAR制作的自解壓文件，不僅可以用來(lái)加載隱蔽的木馬服務(wù)端程序，還可以用來(lái)修改對(duì)方的注冊(cè)表。比方說(shuō)，攻擊者可以編寫(xiě)一個(gè)名為change.reg的文件。接下來(lái)用“實(shí)例”中的辦法將這個(gè)文件制作成自解壓文件，保存為del.exe文件即可。注意在制作過(guò)程中要在“注釋”中寫(xiě)上如下內(nèi)容：

Path=c:Windows

Setup=regedit /s change.reg

Silent=1

Overwrite=1

完成后按“確定”按扭，就會(huì)建立出一個(gè)名為del.exe的Winrar自解壓程序，雙擊運(yùn)行這個(gè)文件，將不會(huì)有導(dǎo)入注冊(cè)表時(shí)的提示信息(這就是給regedit加上“/s”參數(shù)的原因)就修改了注冊(cè)表鍵值，并把change.reg拷貝到C:Windows文件夾下。

此時(shí)你的注冊(cè)表已經(jīng)被修改了!不僅如此，攻擊者還可以把這個(gè)自解壓文件del.exe和木馬服務(wù)端程序或硬盤(pán)炸彈等用WinRAR捆綁在一起，然后制作成自解壓文件，那樣對(duì)大家的威脅將更大!因?yàn)樗�不僅能破壞注冊(cè)表，還會(huì)破壞大家的硬盤(pán)數(shù)據(jù)，想想看是不是很可怕?

從上面的實(shí)例中不難看出，WinRAR的自解壓功能真的是太強(qiáng)大了，它能使得不會(huì)編程的人也能在短時(shí)間內(nèi)制作出非常狠毒的惡意程序。而且對(duì)于含有木馬或惡意程序的自解壓文件，目前許多流行的殺毒軟件和木馬查殺軟件竟無(wú)法查出其中有問(wèn)題存在!不信的話，大家可以做個(gè)試驗(yàn)，就知道結(jié)果了。

那么該怎樣識(shí)別用WinRAR捆綁過(guò)的木馬呢?只要能發(fā)現(xiàn)自釋放文件里面隱藏有多個(gè)文件，特別是多個(gè)可執(zhí)行文件，就可以判定其中含有木馬!那么怎樣才能知道自釋放文件中含有幾個(gè)文件，是哪些文件呢?一個(gè)簡(jiǎn)單的識(shí)別的方法是：

用鼠標(biāo)右擊WinRAR自釋放文件，在彈出菜單中選擇“屬性”，在“屬性”對(duì)話框中你會(huì)發(fā)現(xiàn)較之普通的EXE文件多出兩個(gè)標(biāo)簽，分別是：“檔案文件”和“注釋”，單擊“注釋”標(biāo)簽，看其中的注釋內(nèi)容，你就會(huì)發(fā)現(xiàn)里面含有哪些文件了，這樣就可以做到心中有數(shù)，這是識(shí)別用WinRAR捆綁木馬文件的最好方法。

最后再告訴大家一個(gè)防范方法，遇到自解壓程序不要直接運(yùn)行，而是選擇右鍵菜單中的“用WinRAR打開(kāi)”，這樣你就會(huì)發(fā)現(xiàn)該文件中到底有什么了。