安全评论：WinRar也是双刃剑

　　1、实例演示

　　通过上面的方法制作的自解包有两个明显的缺陷：1.尽管文件后缀为exe但是文件图标却是WinRar的，隐蔽性不够;2.单击文件右键就会显示与WinRar相关的项目如图9。于是攻击者对其从两个方面进行隐蔽欺骗。

　　图9

　　(1).文件图标欺骗：在图10中点击“从文件加载自解压文件图标”下的“浏览”按钮，选择一个比较有欺骗性的图标文件(比如QQ游戏图标)最后点击“确定”即可。

　　图10

　　(2).右键欺骗：

　　第一步：利用UltraEdit-32或者C32Asm等编辑器打开做好的自解压程序，然后通过查找功能找到二进制526172211A07，把61改成其他的数字，比如62，再搜索807A0161，把61改成之前改的值，这里改成62如图11。

　　图11

　　第二步：保存修改后的文件，点击右键查看果然右键中的WinRar相关选项只剩下一项如图12和其他程序没有任何区别。

　　图12

　　第三步：进行程序测试(笔者捆绑了一个灰鸽子的服务端)，把该文件移动到一虚拟机双击运行，稍等片刻灰鸽子控制端提示有主机上线如图13。

　　图13

　　2、防范措施

　　对于经过改造的WinRar自解压文件，上面两例中的方法一肯定无效。那只能通过用户个人提高安全意识，洁身自律不去下载运行没有安全保障的软件。当然，及时更新病毒库用杀软杀毒是非常必要的。

　　总结：上面列举的攻击实例是当前黑客常用的WinRar攻击方法，笔者要说的是，WinRar本无罪，关键是它被攻击者利用。作为WinRar的用户，当然没有必要因噎废食而放弃它。其实，我们只要理解了攻击原理，提高警惕掌握一定的技巧就可以有效防范类似的来自常用软件的攻击。