NTFS文件流与RAR联手打造免杀木马(2)

　　好了，NTFS文件就生成了。难道这就是我们最后的结果吗？这和黑防原来介绍的NTFS数据流木马是同样的道理，只不过是用脚本实现的而已，没有什么新意嘛！别忘了文章标题，我们还有RAR没有使用哦！

　　蝴蝶：是不是觉得有点意外？天天与WINRAR打交道居然不知道它有这个功能。或许每个Windows的漏洞也在天天和人打交道，又有几个人发现了它们呢？

　　下一步出动我们的主角“WINRAR”，对着我们刚才用VBS做出来的文件夹点击右键，选择“添加到压缩文件”。

　　之后选择“生成自解压包”再选择“高级”选项卡，来到刚才图4那里，按图4那样勾选“保存文件流数据”，然后来到“自解压选项”里“常规”选项。注意在“解压后运行”项目中根据先前做得木马来填，如“muma：webdav.Exe”。在这里我注重的是讲解如何联合WINRAR构造木马，其它参数可根据个人喜好来填写。

　　到这里，这个木马基本上已经弄好了，只差一步：生成自解压包，大家点点鼠标就能实现了。下面是我已生成的文件的运行状态。

　　是不是觉得有点怪怪的？“WebDavScan”这个程序运行了，在进程中却没有见到它的踪影，只有“muma”这个刚生成的自解包的进程，可能秘密就在里面。由于这个程序是被KV2004列为病毒的，我们现在来看看能不能查出来。

　　如果是用WINRAR打包的文件流，KV2004是查不出来的，至于内存里也没有发现什么异常，看来这种方法还行得通哦！不过本文的只适合于Windows 2000以上的NTFS文件分区格式。

　　好了，文件就简单的介绍到这里了，大家现在可以方便的打造自己的不被杀的木马了！