也許從標題就可知道本文的大概意思了，不錯!今天我要講的就是NTFS文件流如何與WINRAR聯(lián)手“加殼”木馬。

　　小知識:流(STREAM)是NTFS下的概念，目前只有NTFS支持流。流依附于文件而存在，可以在流中存儲2進制數據，文字或者其它一些東西。每個文件可以含有多個流，當流所依附的文件被刪除，流也隨之消失。流的名字和文件名以“:”分隔，例如:ABC:A.ABC就是文件名，而流的名字為“A.”，當我們操作流時，可以用如下的簡單方法:

　　ECHO STREAM1>ABC:STREAM1

　　ECHO STREAM2>ABC:STREAM2

　　現在，ABC就有了“:STREAM1”和“:STREAM2”共2個流，而讀出流可以用:

　　MORE MORE

　　廢話不多說，我先介紹一下本文使用的工具:為了方便寫文件流而編寫的VBS腳本(Together.vbs)，它可以把一個文件隨意附在你想附的文件中，意思就是我們可以把我們的木馬文件放到一個不起眼的文件中。

　　首先如何用工具生成一個附在文件夾的文件流，也就是流文件名為“:*”的形式呢?先建個空的文件夾，如“muma”，之后在文件夾的同一目錄上運行“together.vbs”。

　　首先要填的就是你想打造的木馬(由于我手頭沒有什么木馬，只好找“webdav.exe”當木馬了，注意KV是要殺Webdav.exe的哦)。要注意的是木馬的位置要和“together.vbs”同一目錄，不然會出現找不到文件的提示，接著就要填的就是你想把你的木馬依隨在那個文件或文件夾(最好是文件夾)。如果是文件夾的就應這樣填:例如是附在“muma”(剛才第一步建的文件夾)這個文件夾上的，就寫“muma”。填寫完后按“確定”生成，將提示成功。

　　好了，NTFS文件就生成了。難道這就是我們最后的結果嗎?這和黑防原來介紹的NTFS數據流木馬是同樣的道理，只不過是用腳本實現的而已，沒有什么新意嘛!別忘了文章標題，我們還有RAR沒有使用哦!

　　蝴蝶:是不是覺得有點意外?天天與WINRAR打交道居然不知道它有這個功能�；蛟S每個Windows的漏洞也在天天和人打交道，又有幾個人發(fā)現了它們呢?

　　下一步出動我們的主角“WINRAR”，對著我們剛才用VBS做出來的文件夾點擊右鍵，選擇“添加到壓縮文件”。

　　之后選擇“生成自解壓包”再選擇“高級”選項卡，來到剛才圖4那里，按圖4那樣勾選“保存文件流數據”，然后來到“自解壓選項”里“常規(guī)”選項。注意在“解壓后運行”項目中根據先前做得木馬來填，如“muma:webdav.Exe”。在這里我注重的是講解如何聯(lián)合WINRAR構造木馬，其它參數可根據個人喜好來填寫。

　　到這里，這個木馬基本上已經弄好了，只差一步:生成自解壓包，大家點點鼠標就能實現了。下面是我已生成的文件的運行狀態(tài)。

　　是不是覺得有點怪怪的?“WebDavScan”這個程序運行了，在進程中卻沒有見到它的蹤影，只有“muma”這個剛生成的自解包的進程，可能秘密就在里面。由于這個程序是被KV2004列為病毒的，我們現在來看看能不能查出來。

　　如果是用WINRAR打包的文件流，KV2004是查不出來的，至于內存里也沒有發(fā)現什么異常，看來這種方法還行得通哦!不過本文的只適合于Windows 2000以上的NTFS文件分區(qū)格式。

　　好了，文件就簡單的介紹到這里了，大家現在可以方便的打造自己的不被殺的木馬了!