黑客24小时在线接单网站

今天分享{黑客24小时在线接单网站}的知识，会对木马编写教程解释，如果解决了您的问题可以收藏本站。

电脑中木马的简单识别方法和对策。

如何识别木马

木马程序一般分为客户端程序和服务端程序两部分，客户端程序用于远程控制计算机。而服务端程序，则隐藏到远程计算机中，接收并执行客户端程序发出的命令。所以当黑客通过网络控制一台远程计算机时，第一步就需要将服务端程序植入到远程计算机。为了能够让用户执行木马程序，黑客常常通过各种方式对它进行伪装，这种伪装就是我们说的木马画皮。自木马诞生以来，黑客们为了木马的隐蔽性，各种伪装伎俩可谓层出不穷，让人防不胜防。那么就让我们一起来练就一双火眼金睛，拆穿木马画皮伎俩，将这些不速之客拒之门外。

画皮第一计：图标伪装

伪装等级：★★★★

在Windows系统中，每种文件类型使用不同的图标进行表示，用户通过一种图标就可以轻易地判断出这是那种文件类型。黑客为了迷惑用户，将木马服务端程序的图标换成一些常见的文件类型的图标，这样当用户运行以后，噩梦也就开始了。

实例：黑洞2001服务端的安装程序使用了文件夹的图标，当你隐藏了已知文件类型的扩展名时，这个文件看上去就是一个文件夹，当你好奇地点击它，打算进去看看有什么文件的时候，潘多拉的盒子就打开了。

识别方法

平时我们在运行一个文件的时候，常常习惯于利用鼠标双击运行它，这样Windows系统首先会判断文件类型打开其关联程序，然后再打开这个文件。这样运行方法就很容易激活修改了图标的木马程序。其实，我们只需要换一种方式，就可以避免。比如我们看到一个文本文件的文件后，并不要双击打开它，而是首先打开记事本程序，然后通过“文件”菜单中的“打开”命令来打开这个文件，如果显示出的是乱码，那么这个“文本文件”就肯定有问题。

安全专家点评：更换图标是最基本的木马服务端的伪装方式，但是只使用这一种方式是远远不够的。黑客会将它和文件更名、文件捆绑等一系列的伪装方式进行组合，这样才能骗得用户运行。所以不要随意执行别人发来的文件，那怕他是你的朋友也要谨慎一些。

画皮第二计：改名换姓

伪装等级：★★★

图标修改往往和文件改名是一起进行的，黑客往往将文件的名称取得非常的诱人，比如“漂亮的妹妹”之类，骗用户去运行它。当木马服务端程序运行以后，服务端程序也会将自己的进程设置为和正常的系统进程相似的名称，从而使用户不容易产生怀疑，被其麻痹。

实例：如图2所示，这是笔者制作的木马服务端安装程序，它在电脑上显示为“漂亮的妹妹.bmp”。如果你把它当作一个图像文件来打开的话，笔者的木马也就在你的电脑中安营扎寨了。

识别方法

首先要明确，不论木马如何伪装自己的图标和文件名，它的后缀部分必须是一个可执行的扩展名，比如EXE、COM、BAT等，否则木马不会运行自己的代码， 在Windows系统的默认设置下会隐藏已知文件的扩展名，如果木马把自己的文件名改成了“XXX.bmp.exe”这个样子，扩展名“.exe”隐藏后，木马的文件名就会变成“XXX.bmp”，再给这个文件配一个图像文件的图标，这个文件就会变成“一只披着羊皮的狼”。在“文件夹选项”对话框中选取“隐藏已知文件类型的扩展名”选项，具体的操作为：打开资源管理器，在菜单栏选择“工具→文件夹选择”打开“文件夹选择”对话框，去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可撕掉这部分木马的画皮。

安全专家点评：这种方式在利用P2P程序进行文件传输的时候常常用到，而且通常是和图标伪装一起使用，让用户防不胜防。所以无论从那里得到的文件，在使用以前都通过杀毒软件对它进行一番查杀最好。

画皮第三计：文件捆绑

伪装等级：★★★★★

文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起，达到欺骗对方从而运行捆绑的木马程序。捆绑后的文件很有迷惑性，而且加上木马一般在后台运行，用户点击后不会出现什么异状，往往会在不知不觉中中招。

实例：笔者将木马程序捆绑在电子书后得到的文件，和文件捆绑后得到的文件并没有损害，用户点击后仍能够看到电子书中的内容。这种方法有很大的迷惑性。

识别方法

使用木马捆绑克星、FBFD等程序检查可疑的可执行文件，当文件进行了捆绑，程序就会出现类似“文件可能经过捆绑，请小心使用！”这样的提示。木马捆绑克星除了能检测出可执行文件中的其他程序，而且还能把捆绑在其中的程序分离出来。

安全专家点评：随着人们网络安全意识的提高，以前很多的黑客攻击手段已经得到了有效的遏制，可是利用文件捆绑来进行木马服务端程序的传播，却一直受到黑客的钟爱。所以用户在运行可执行文件时，一定要提高警惕。

画皮第四计：出错显示

伪装等级：★★★

绝大多数木马服务端安装时不会出现任何图形界面，因此，如果一个程序双击后没有任何反应，有经验的网民就会怀疑它是木马。为了消除这部分人心中的疑虑，黑客会让木马在被运行时弹出一个错误提示对话框。

实例：如今的木马程序，很多都有“安装完毕后显示提示”的选项，例如木马HDSPY，用户在配置服务端程序后，在“提示内容”输入框中输入需要的提示内容，例如“文件已损坏，无法打开”等。当用户运行服务端程序后，就会弹出我们设置的内容。

识别方法

如果该文件是木马程序，用户在看到了出错信息的时候往往已经中招。所以用户看到错误信息的时候要有所警觉，这个时候就要通过扫描系统端口判断自己是否中了木马。比如可以采用X-Scan对自己的系统进行扫描。如果发现可疑端口就要进行相应的查杀。

安全专家点评：这种方法虽然在早期可以骗得用户，但随着人们安全意识的提高，往往给人一种“画蛇添足”的感觉。

画皮第五计：自我销毁

伪装等级：★★★

大多数木马本身只有一个文件，它的安装程序其实就是木马服务端程序，当你双击了一个木马的安装程序后，它会把自己拷贝到系统目录或其它目录，因此，一些有经验的网民如果怀疑一个程序是木马，它会根据安装程序的大小在硬盘上搜索木马文件。为了对付这部分网民，一些木马设计了自我销毁的功能，当它把自己拷贝到系统目录或其它目录后，它会把自己删除，让你无据可查。

识别方法

对于这种方法就需要对系统的注册表进行即时监测和使用木马利用杀毒软件对系统以及注册表进行及时监控。一般木马会在系统注册表中留下痕迹。这个时候我们就可以根据这些蛛丝马迹揪出这些木马。

安全专家点评：利用这种方式进行木马种植的，主要是利用了网页木马和远程溢出等方式。因为黑客利用网页木马或远程溢出，都是在用户不知情的情况下，将木马植入远程系统的。既然远程用户不知情，利用木马的自我销毁功能就可以做到“来无影去无踪”。

画皮第六计：网页“嫁衣”

伪装等级：★★★★

网页木马是黑客成功利用了系统以及一些程序的漏洞，诱骗用户浏览某个特殊的网页，在用户浏览的时候，网页木马就会成功地利用系统的漏洞，从而将设置的木马服务端程序“悄悄地”安装到远程系统中。

实例：制作网页木马有很多现成的工具，动鲨网页木马生成器就是很优秀的一款，该木马生成器利用了微软的IE Help ActiveX控件漏洞绕过本地安全域。

识别方法

如果你在访问了一个不熟悉的网页后，计算机上网的速度突然下降，甚至出现假死的情况，那么就可能是中了网页木马了。大家可以在访问不熟悉的网页前用“view-source”这个IE命令查看网页的源代码。如果发现源代码中有iframe src="ww.XXX.htm" name="zhu" width="0" height="0" frameborder="0"之类的就不要访问了。

安全专家点评：利用网页木马传播木马服务端程序，是当前非常流行的一种方法。受害者在不经意之间就被种植了木马程序。对不熟悉的网页最好不要去访问，如果访问后系统出现问题要断网查杀木马。

画皮第七计：邮件附件

伪装等级：★★

通过电子邮件的附件，进行简单的文件传输，本来是为了方便用户。可黑客正是看中了这一点，通过伪造一些著名的企业或用户好友的邮件来欺骗用户，通过邮件附件来传播木马服务端程序。

实例：黑客在邮件附件中加入木马后，一般会使用比较有迷惑性的语句来骗取用户的信任。比如 “这是Windows最新的安全补丁程序，请运行后重新启动系统。”

识别方法

不要立即运行邮件附件，而是将它“另存为”到一个文件夹，然后对文件夹进行查杀检测，发现问题立即删除。

安全专家点评：利用电子邮件的附件，是最常见的木马和病毒的传播方法。一般没有经验的用户会上当中招。但是因为很多邮件系统自带杀毒系统，所以现在已经不是很流行了。”

怎么样才能让木马与文件夹捆绑,而且不易被破坏.

别干坏事～～～

下载一个exe捆绑机，使用及其简单！

用IExpress制作免杀木马实战教程

摘自: 2005-07-24 00:54:43 hackbase.com

工具介绍：

名称：IExpress

功能:专用于制作各种 CAB 压缩与自解压缩包的工具。

实际操作

在这一部分，笔者将以实例的形式为大家详细讲解捆绑木马的整个过程。

第一步

在“运行”对话框中输入IExpress就可启动程序(图1)。

在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项，然后点击“下一步”按钮。[!--empirenews.page--]

第二步

接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。[!--empirenews.page--]

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

第二步

接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。

因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。

第三步

在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。

第四步

现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。[!--empirenews.page--]

随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。

第五步

接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。

第六步

上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。

在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。

整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。

现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。

不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉

参考资料：

为什么有一些电子书会被360和eset当成木马

有下面的可能性：

第一：可能是杀毒软件误报。

第二：可能是电子书带有病毒木马程序。

第三：你的电脑有可能有病毒感染了电子书的文件。

第四：请你立刻用杀毒软件全盘扫描。

求做电子书

一本E书过于臃肿，造成的原因有多种。观上交的作业，有几百K到2、3M不等，由于这次作业内容是统一的，很容易对比出问题，也有问到如何“减肥”，由于各人的表现手法不尽相同，纵观这次存在的，结合以前有过的，不外几种典型类型，总结了一下，希望对你有所帮助。

一、图片

一般装饰图：包括封面图、题头图、背景图以及用于美化的其他图片，不要使用bmp位图，可用jpg或gif格式，背景常用带循环图案的小尺寸图，尽量避免多帧gif（动画），曾经看到过有会员为了追求特定效果而用800×600甚至更大幅的单图作为背景，只能以牺牲“体重”为代价。如果用制图软件编辑过某张图片，注意在导出时有压缩率和清晰度选项，两者成反比，越往上图片会成倍增大，甚至超出原有很多，而此时清晰度的增加并不明显，一般达到70％以上就可以了。

闪屏图：很多会员喜欢用闪屏。大家知道，不管用eep还是ews，所支持的格式只能是bmp，而这种格式在常见几种图片类型中压缩率是最小的，如果尺寸小点，影响还不大，只怕图片做得过大，以前见过一本书，打开时满屏显示，开始还以为是本翻页书，“闪”过后才知道只是欢迎画面，一张800×600的bmp可以达到1.4M左右，如果书的主要内容部分以K计算，不免有点喧宾夺主了。个人信息或声明可以在“关于”中说明，或者多做一个网页也可以，不是非常重要时，不推荐用闪屏。

二、音效

一本精美的书中，加入一段适合内容的动听音乐，可以渲染气氛。但要注意的是，对于看书而言，音乐毕竟是配角，不必追求过高音质，一个mp3文件小则3、4M，大点6、7M甚至更大，而且在配置不高的机器上载入过大的单个文件时还会使E书打开的很慢，所以除非迫不得已（有些英语类的有声E书），用一个几K的midi足矣。

三、网页本身

如果说图片、音乐等都是配角，那么对于文字类的书籍来说网页对“减肥”起着决定性的作用。但是这个因素反而容易被忽略。多数会员都用软件做网页，而软件制作出来的网页往往带有很多垃圾代码和无效代码，比如代码中带有制作软件本身的信息，这些信息对于书的内容来说毫无意义，也不会在页面中反映出来，可以删除；有些对网页元素设置的尺寸、位置属性代码，如一张图片1：1显示，限制宽、高的代码就成多余；需要一个单元格中的元素对左显示，就没有必要加上对左代码，因为浏览器默认不加限制的都对左。所以说要想让网页“减肥”，过后要对软件制作的网页加以修改。这点对于新手来说有难度，可以不做，但当你对源代码达到一定熟悉程度后，必须要做。下面这个附件中的两个文件，一个是学员用软件直接做的《抗战史》目录页，另一个是在此基础上修改过的，大家可以比较一下，页面效果基本一样，但是文件从19.8K减小到了1.66K，这不是单个网页减小十几K的问题，而是当一本书存在几十上百或更多网页时累计节约的百分比，所以说网页本身带来的增肥效果也要得到重视。

另一个问题就是文件名，每个文件名称都在其他网页的链接中得到体现，尽管增加的只是字节数，对E书的“减肥”贡献微乎其微，但是积少成多，可用1、2个字节命名文件，不用3个字节，中文命名更要避免。再说简单的文件名在你建立链接时不至于自己被搞得晕头转向，何乐而不为呢？

四、ews的“关于”页面

之所以单独提出，是因为存在一个极易被忽略的问题。ews采用html对话框是因为网页有很强的表现力，可以把“关于”页面设计得非常个性化，同时也带来整本E书的图片、音效等问题，上面说过的不再重复。值得注意的是，存放“关于”页面的文件夹绝对不能放在E书的网页文件的所在文件夹，否则会造成重复编译。

五、后期工作

打包前要清理文件夹，一切不需要的文件如制作图片时的辅助用图、公共的网页模板删除无商量；自制图标、闪屏图片、按钮背景图、logo等不需打进书中，任你移到犄角旮旯，软件的浏览功能照样都能找出来。这次看见有会员把初稿一初稿二一并打包进稿三，相当于一个人有了三个人的体重，不叫“肥肥”才怪。

总之，在不影响E书表达效果的前提下，“减肥”的原则是少一点是一点，可用1K表达，决不用1.1K。一切搞定后，放心压缩，包你做出的书“身轻如燕”“娇小玲珑”“人见人爱”

常见电子书格式及其反编译思路

1. 前言 2. 常见电子书格式及其反编译思路 2.1 PDF格式 2.2 基于IE内核的电子书 2.2.1 CHM格式 2.2.2 EXE格式 2.2.2.1 Web Compiler 1.67 2.2.2.2 Caislabs eBook Pack Express 1.6 2.2.2.3 通用反编译思路 2.3 HLP格式 2.4 小说网/小说世界（ebx/XReader） 3. 结论附录 基于IE内核电子书的实现方式探讨 1. 前言本文所描述的电子书，指的是将原始的、可编辑的HTML、TXT、RTF、图像文件等，打包成一个独立的EXE，或其它只有专用浏览器才能读取的文件，打包后的文件通常不可用常规工具进行编辑、全文检索。 本文所描述的电子书反编译，指的是将电子书中的内容提取出来，还原或转换成标准的、可编辑的HTML、TXT、RTF及图像文件等。 就像世间其它事物一样，电子书编译器和反编译器的出现也都不是偶然的，都有其必然性。 在电子书编译器这一方来说，大概从有电子文档那天开始，就有人琢磨着要对电子文档打包了。我个人认为这主要是从以下几个方面进行考虑： 便于阅读、管理。当年在DOS下阅读文本文件，尤其是中文文件比较麻烦，因此出现了自带中文字库、自带基本浏览（翻页、滚动）功能的DOS电子书；由于需要在不同OS平台上获得相同的阅读效果，因此产生了跨平台的PDF格式电子书；随着互联网络的发展，大量信息以HTML格式出现，但是面对一大堆HTML文件，并不是每个人都知道该去双击index.htm或default.htm的，而且文件太多，管理也成问题，因此出现了CHM格式和各种基于IE内核的EXE格式电子书。 便于保护知识产权、商业机密。这个问题的重要性相信大家现在都能理解了，不要说那些包含核心商业机密的东西，就算是区区一本小说，都会有些卑鄙小人把原始的HTML、TXT文件拿去加LOGO、打包，然后声称是自己“辛苦扫校的成果”，再堂而皇之地收取所谓“VIP费用”。因此PDF一直将文档安全性作为卖点之一，国内的各种独门格式电子书也以防反编译、防内容复制为首要目标。 而反对将通用格式打包成独门格式的人，当然也有自己的道理： 便于全文检索。如前所述，电子书一般不可用通常的检索工具进行全文检索，这就为资料的有效利用设置了障碍。我个人认为，藏书量在几十本、上百本的时候，手工建立摘要、索引可能还可以接受；再多以后，我想要的就只是一个快速的全文检索工具，就好像在互联网环境下，对google的依赖一样。 便于修改。俗话说：“金无足赤，人无完人”，电子书也是人做的，有时难免会出点什么错，或者因为资讯的发展，需要对原有内容加以修正、补充，这个时候如果面对的是一个不可编辑的EXE，您会有什么感想？ 节省时间和耐心。Windows在显示文件列表的时候，需要读取文件信息，EXE文件还要读取ICON等，如果装有反病毒软件，进入文件夹的时候，反病毒软件一般还会自动对文件夹中的EXE文件进行自动检查，而电子书大小一般都在MB级，因此打开包含EXE格式电子书的时候，感觉速度巨慢，比较令人反感。 节省空间。一般EXE格式电子书的标准架构是：可执行体＋内容＋TOC。可执行体指的是电子书的执行代码部分，包括程序代码、插件代码、界面资源等。内容指的是电子书中真正包含的文本、图像内容，一般使用某种压缩、加密算法进行处理。TOC（Table Of Content）相当于目录索引，作用是加速对内容的访问。因此相对于直接用WinZip、WinRAR对原始内容进行压缩，每一本EXE格式的电子书都会浪费一部分磁盘空间，以存储执行体部分。电子书的软件界面越花哨，这种浪费一般也越大，我见过最夸张的电子书比原始内容足足多出 1 MB多的东西。 避免垃圾。对于某些基于IE内核的电子书来说，由于实现技术的限制，可能会在注册表和系统目录下留下垃圾。 安全。如果说如今的网络社会是一个充满恶意、毫无诚信的环境，可能有点夸张了，不过确实有人不知“做人要厚道”为何物。老实说，每次拿到一个来路不明的EXE格式的电子书的时候，我都在怀疑里面有没有什么木马、病毒，实在难受。 便于平台转换，包括转换到手持设备。EXE格式的电子书看起来可能很爽，但是毕竟只能在Windows下看，如果想在其它系统下看，尤其是在手持设备上看，唯一的出路就是反编译了它。 当然，在反编译后，也必须寻找合适的替代品，以继续满足原先的需要： 打包工具。建议选择Winzip或WinRAR，不仅使用方便，而且打包后文件也小，进入目录还快。 阅读工具。现在可以不解包就直接阅读zip/rar文件内容的软件不少，一搜一大把，我自己都做过一个MyReader，不仅可以直接从ZIP/RAR中读取内容，还有自动定位index.htm、书签、现场保护、资源浏览器右键菜单扩展、zip/rar密码自动记忆等功能。 全文检索工具。可以直接在zip/rar中全文检索的软件也有不少，我自己也做过一个FindStr，支持加密zip/rar，这个工具还可以与MyReader集成，搜索结果可以直接用MyReader直接打开，不需解包。另外它还支持批量文本替换，所以也经常被我用来整理下载到的或反编译出来的小说，包括去除广告链接、绝对URL改成相对URL等。 对劳动成果的保护。这个直接用zip/rar的密码保护就好。 2. 常见电子书格式及其反编译思路 2.1 PDF格式 PDF格式是Adobe公司推出的一种跨平台电子文档格式，Adobe公司提供专用的文档浏览器，使用户可以在不同平台下获得相同的阅读效果。 其实Adobe公司提供的PDF编辑工具－－Adobe Acrobat本身，就已经支持将PDF文件另存为RTF格式，因此我对PDF的反编译研究不多。不过这个功能似乎受到“文档安全性”的限制，好在我google了一下，破解PDF安全保护的软件似乎不少。如果真的对批量转换有兴趣，在codeproject上也有一篇文章，提供将PDF转换成纯文本的源代码。 从我使用的情况看，Adobe Acrobat本身输出的RTF格式，对英文文档来说应该没有什么太大的问题，顶多是格式有点变化，但是在输出中文文档的时候，偶尔会因为字符集代码错误，导致输出的文件在Word、写字板中打开的时候，只能看到一堆乱码。对于这种情况，手工替换一下字符集编码即可解决。 出现乱码还有一种可能就是PDF文件中使用了自定义的字库，导致转换出来后的文件无法正常显示，这个比较麻烦。PDF文件自带字库有两种方式：自带一种完整的字库，称为font embedding；只自带一种字库中要用到的那几个字符，称为font subsetting。在e类出版物论坛的“图书制作、阅读工具区”对此有过讨论，需要的可以自己去看。 不过有一次我试着用过一个叫PDF2Html的软件，这个软件的思想是将PDF文件的每一页转换成一个JPG文件，然后将JPG文件封装到HTML文件里，加上目录、翻页按钮等，这样在网络浏览的时候，连客户端的Acrobat Reader及客户端字体支持都可以省了。这个软件的HTML文件模板做得怎样先不去说它，最令我奇怪的是，转换出来的图像格式只能是JPG，不能是PNG。其实对于有大片白色背景的页面来说，使用PNG格式不仅文件长度比JPG小，而且不会象JPG格式一样，在文字、图像边缘产生许多细小的碎片（高次杂波）。 2.2 基于IE内核的电子书随着互联网的发展，现在越来越多的网络文档内容是以HTML格式提供的，而微软本身又以控件的形式提供了IE浏览器的内核，可以很方便地被几乎所有Windows下的编程工具所调用，因此目前基于IE内核的电子书似乎占据了主流位置。 2.2.1 CHM格式 CHM（发音为“chum”）的原意是Compiled HTML help file，是微软作为HLP格式（16位Windows下的标准帮助文件格式）的替代格式提出的，因此微软自己不仅随4.01以上版本的IE一起提供免费的浏览器，而且免费提供制作工具Microsoft HTML Help Workshop。 CHM文件内部使用ITS格式，这是一种非常优秀的压缩格式，感觉压缩比要比zip、rar大。 由于ITS格式的开放性，国外早就有人做出了CHM格式的独立编译、反编译工具，并且公开了全部源代码，需要的人可以到这里看： 这个网站除了提供CHM编译、反编译工具及其源代码外，还提供CHM格式的详细说明，当然是英文的。我做的UnEBook在开始的时候，就使用了其中chmdeco的源代码，实现批量反编译CHM的功能。如果这个网站不幸登录不了，google一下chmdeco就好，有很多备份站点的。chmdeco内部使用的是chmlib的源代码，这份源代码很有名，除chmdeco外，chmtools用的也是它。 不过在使用了一段时间后，我发现这份代码在反编译某些CHM文件的时候，会出现数组越界错误。这种错误出现的概率虽然不大，但是出现后还是比较心烦，因此最终放弃了这份代码。 现在UnEBook使用的CHM反编译代码是从这里改出来的： 这份代码使用了微软未公开的ITS文件访问接口，直接对文件进行操作。由于使用的都是微软的东西，不仅目标码比较小，兼容性也好得多，目前还没有遇到反编译不出来的CHM文件（唯一的一次例外，是那个CHM文件本身就打不开），内存漏洞什么的也没有发现。看来微软的东西还是要由微软来对付，方为王道。 另外某些人制作CHM电子书的时候，为了省事，没有制作index.htm，而是单纯依赖左侧的目录树进行导航。对于这样的电子书，在反编译后，一般还需要根据生成的hcc文件，自动生成一个索引页，以免看的时候不方便。hcc文件结构大致如下： 多级目录通过UL控制，见到UL的时候往下走一级目录，/UL往回走一级。 目录项以OBJECT type="text/sitemap"开始，以/OBJECT结束。以PARAM NAME="Name" VALUE="xxx"存放项名称，PARAM NAME="Local" VALUE="xxx.html"存放项链接。 某些目录项可能只有名称，没有链接。 在UnEbook中，不仅能够根据hcc文件自动生成索引页，还能自动生成框架页，将索引页和显示页嵌入框架中，以最大限度模仿CHM中的目录效果。如果要完全模仿能够动态伸缩的树形目录效果，则需要增加图片、js、css等文件，实在得不偿失。 2.2.2 EXE格式除了CHM格式外，大量基于IE内核的电子书是以EXE格式提供的。制作EXE格式的电子书工具现在似乎已成为一个产业，养活了大批的程序员。虽然很多人认为这种格式的电子书很酷：一个文件就可以执行，界面也可以做得很漂亮，还可以带密码保护。但是我个人对这种格式的电子书是最最痛恨的：除了前面说到的安全性、速度、空间、检索等问题外，我最心烦的一点是目前的EXE电子书都没有好用的书签功能，尤其是没有能够定位到页面中任意位置的书签功能，看长文档看到一半的时候被打断会很麻烦，所以自从MyReader实现了书签功能后，我就下定决心一定要解决反编译问题。 2.2.2.1 Web Compiler 1.67 这种格式的电子书，因为其制作工具在国内出现得比较早，而且有非常彻底的汉化解密版，所以曾经比较流行，E书时空提供的很多电子书都是这种格式。不过也正因为它的流行，导致想反编译它的人也多，引出了各种反编译工具，所以现在用的人似乎已经不多了。 反编译工具里，收费的就不去说它了，国内RMH和Fbilo还联合推出过免费的unwebcompiler，并且提供全套的Delphi源代码，有需要的到google或百度搜索一下unwebcompiler就有了。不过可能国内大多数软件网站的管理员都不是开发人员出身，对源代码不感兴趣，所以收藏的都是212 KB的EXE，有源代码的不多，需要仔细找一下。 在unwebcompiler的源代码里，RMH和Fbilo对Web Compiler 1.67生成的电子书的文件格式进行了详细描述，在这里我就不做无聊的重复，有兴趣就自己去看吧。我做的UnEBook也使用了他们提供的源代码，实现对Web Compiler 1.67生成的电子书的批量反编译，不过被我将代码从Delphi改成了C，似乎长度缩短了一些（原代码中有一段在字符串和十六进制数之间转换来、转换去，看起来比较怪异，被我省了），不过LHA解压缩部分改起来实在太麻烦，我直接在网上找了一段现成的C代码来用。 2.2.2.2 Caislabs eBook Pack Express 1.6 这个电子书制作工具也出过汉化版，所以在国内也有一定影响，不过这种影响似乎还没有大到足以使反编译工具满天飞的程度，嘿嘿…… 在分析这种格式的电子书的时候，我没有使用任何反汇编工具，用UltraEdit32和系统监视工具就猜出来了： 文件标识：以十六进制串 00 F8 03 00 结尾。这个似乎是一种惯例，差不多所有EXE格式的电子书都有自己特殊的文件结尾。 目录块起始地址指针：0003F81C 目录块中目录项结构：以0字符结尾的文件名＋4字节起始地址，文件名起始字节为FF则目录块结束。 如果文件存放在子目录里，则文件名首字符：02＝../，01：第一个00变成/，直到遇到02。 文件内容实际起始地址：目录项里的4字节起始地址＋9 文件内容长度：目录项里4字节起始地址所指内容，DWORD。 在分析出目录结构后，我曾经想通过调试工具，分析文件加密算法，再反编译出具体的文件内容，但是很快我就发现那样干太累了，实在是得不偿失。 不过在经过几次尝试后，我还是找到了一个偷懒的办法： 通过安装hook的方法，往电子书的进程空间注入一个DLL。 在这个DLL里，用Windows标准的API函数URLDownloadToFile，就可以下载到指定的文件。文件的URL可以按前面说的方法，从目录项得到相对路径，再加上一个固定前缀（":\\com_caislabs_ebk\\"）构成绝对路径。 UnEbook在批量反编译这种格式的电子书的时候，就是按照上面的分析结果实现的。 不过到了更高版本的Caislabs eBook Pack Express的时候，似乎Caislabs公司也开始意识到文件内容保护的重要性，因此不仅对文件内容采用更强的加密算法，杜绝了可以用URLDownloadToFile下载的漏洞，连目录块的加密强度都强到足够使我不想去分析了。幸好这个时候我已经有了更好的反编译思路－－与具体文件格式无关的，专门针对使用IE内核的电子书的通用反编译思想。 2.2.2.3 通用反编译思路在分析过几种电子书格式后，我开始领悟到一个真理：电子书内部文件结构的变化是无穷的，而我的时间和精力是有限的；把有限的时间和精力投入到对抗无穷的变数中去，早晚会有累死的一天。 有此认识后，我开始思考有没有什么通用的方法，可以解决大部分电子书的反编译问题（我还没有幼稚到相信这世上会有万能药的程度）。按照惯例（不可救药的职业病），第一步当然是市场调查、产品定位，结论是目前大多数电子书都是基于IE内核的，但是根据我在开发MyReader时对IE内核的了解，这里面明显存在一个误区：微软以控件的形式提供IE内核，其目的就是希望通过控件接口的开放性、方便性，吸引更多的人加入微软的标准阵营，如果想在此基础上添加加密、保护等等内容，恐怕与微软的初衷不合（我说的是当时，以后微软改主意了也说不定）。因此我相信IE内核一定有后门可走！经过一番努力，果然没有令我失望。 1、基本原理 针对IE内核电子书的通用破解技术实现起来可能需要一些技术和技巧，但是原理却很简单，几句话就可以说清楚：不论电子书在存储的时候如何对内容进行加密，在将内容传递给IE内核进行显示的时候，一定要将内容转换成IE内核能够识别的标准格式－－HTML格式。而IE内核为了便于显示、刷新，在对HTML代码进行解析后，并不是立刻就把这些HTML代码抛弃，而是在内存里保存了一份备份。因此只要将这份备份从IE内核里搞出来，就得到了解码后的内容，也就是反编译想得到的内容。 至于网页中的其它内容，包括图片、css、js、Flash文件等，就更简单了：模拟IE内核，直接找电子书要就好。如果电子书分辨不出请求是来自IE内核还是来自其它地方，自然会乖乖把我们需要的东西双手奉上！ 虽然反编译的原理几句话就可以说清，但是要加以实现，还需要经过艰苦的探索和试验，我自己就经过了长期的努力，IE内核的源代码都翻来覆去看了好几遍（吹的，别当真！）。而我思想的发展也大概经历了两个阶段：第一个阶段是在得到某份传说中的源代码（没错，就是那份展开后近700MB，被国内主流媒体形容为噱头、无足轻重、充满无聊垃圾的东西）之前，完全立足于微软公开的IE内核接口。当时我考虑将电子书内容按照HTML、图像等分类，分别解决获取问题。第二个阶段是在得到那份源代码之后，我突然发现其实对于所有文件，我都可以直接找电子书要，只要假装是IE内核在要就行了。 由于某些东西比较敏感，因此下面叙述的主要是我第一个阶段的想法，其中有些属于基础性的东西。第二个阶段的实现恕我不便奉告。

2、获取HTML源代码的方法 从IE内核获取HTML源代码的方法不仅我一个人在想，从国内到国外，从CSDN（CSDN的VC/MFC区有一个栏目专门讨论IE内核编程）到MSDN，早就有很多人讨论过了，归纳起来，一般认为可以通过下列步骤实现： 不管是通过鼠标点击也好，通过EnumChildWindow也好，总之先找到IE内核的显示窗口，也就是电子书显示网页内容的那个窗口。 通过这个窗口的句柄（HWND），取得这个窗口对应的IE内核文档接口IHTMLDocument2的接口指针。取得的方法目前认为有两种，我个人认为这两种需要结合使用，否则总有一些电子书会搞不定：一个是通过MSAA，一个是通过WM_HTML_GETOBJECT消息。至于具体的实现代码，在CSDN上都快被讨论烂了，因此此处从略，有需要的自己到CSDN上找。不过这两种方法都对平台有要求：XP下是完全没有问题，2000下可能需要装IE 6，98/Me/NT就不要想了。 在得到IHTMLDocument2接口指针后，按照这个接口提供的标准方法，即可获得文档的HTML代码。具体实现代码见CSDN中的例子。 除了上面这种方法外，我自己还尝试过一种方法：使用MIME Filter。 对于搞过网页在线翻译、网页内容过滤的人来说，MIME Filter可是吃饭的本钱，它的作用和实现机理应该早就烂熟于心，但是对于其它人来说，可能还不是很熟，所以这里简单介绍一下：为了便于对IE内核的功能进行扩展，微软规定在IE内核显示某种标准格式（HTML、TEXT等）的内容之前，会先将要显示的内容传递给这种格式的过滤器，即MIME Filter，由它先对内容进行预处理（如将英文翻译成中文，将下流文字替换成星号等），然后再显示。 按照这个原理，如果实现一个针对HTML格式的MIME Filter，即可拦截到最原汁原味的HTML代码。可惜，经过我的尝试，这招对IE本身是灵的，对某些电子书也有效，但是对另一些无效。再加上使用IHTMLDocument2接口指针的方法要比这种方法简单得多，也可靠得多，所以后来在我开发的反编译工具KillEBook、IECracker和CtrlN里就没有使用这种方法。不过这种方法也有一个好处：与平台无关，我在98/Me/2000/XP下都试过，当然都是在虚拟机下试的啦。 MIME Filter的作用机理、实现方法在MSDN里有详细说明，并提供了详细的实例代码，有需要的可以到MSDN上搜“MIME Filter”。 3、获取图像的方法 与HTML代码相似，IE内核对图像的处理也有一个“下载-解码-显示”的过程。考虑到显示代码的抽象性，原来各种各样的图像格式，包括JPG、GIF、PNG、TIFF等，在解码后都被统一表示成位图格式，而原有格式数据在解码后即被从内存中释放，只在IE的cache中留有文件备份。如果指定不允许保存本地cache，则连这个备份都没有。在IE中通过右键菜单选“图片另存为...”的时候，其实就是将cache中的文件备份拷贝一份出来，如果cache中已经没有备份，就只能保存内存中的位图（*.bmp）了。现在明白为什么有些图片明明是jpg格式，但是用IE却只能保存为“无标题.bmp”了吧？ 因此，获取图像文件要比获取HTML文件难得多。而且在MSDN里说得很清楚，用IHTMLDocument2接口只能得到图像的链接，用MIME Filter也不能搞到网页里的图像数据，因此需要另想办法。我想过、试过的包括： 先将图像复制到剪贴板，再从剪贴板里获取图像数据，然后根据图像文件扩展名（可以从图像元素的URL里解析），编码成原始图像格式，包括jpg、png、gif、tiff等。这个方法实现比较简单，到MSDN KB里搜索Q293125，拷贝图像到剪贴板的现成源代码就有了，图像编码的源代码则可以参考cximage，这个也是google一下就有的。不过这个方法远非完美无缺：a). 对于png、gif等允许带透明背景的格式，用这种方法处理后就不透明了。b). gif动画处理后就动不起来了，只能显示其中的某一帧。c). 对于jpg这样的有损压缩格式来说，每压缩一次就损失一次，多压缩几次可能就没法看了。d). 在电子书里，可以通过标准的Windows API函数，使剪贴板失效。 将IE内核导航到图片，然后通过IViewObject接口获取图片的拷贝。这个方法与上面的方法基本相同，不过不通过剪贴板，可以防止因为剪贴板被封锁而搞不到图像。 使用IE图像解码插件。IE内核在下载到某种格式的图像文件后，会调用对应的解码器，对图像进行解码（类似于MIME Filter）。为了便于扩充，解码器是做成插件形式的。如果自己做一个图像解码器插件，对解码请求进行拦截，即可获得解码前的原始图像格式数据。解码器的接口、实现方法在微软公开文档中没有任何蛛丝马迹，但是在那份传说中的源代码里，不仅有详细的接口规范，而且有好几个内嵌图像解码器的实现代码，可供借鉴。奇怪的是，虽然在MSDN中找不到，但是我在google

如何对木马，病毒进行加壳，有什么代码或者软件可以用？

第一步 在“运行”对话框中输入IExpress就可启动程序 在开始的时候会有两个选项供你选择，一个是创建新的自解压文件(Create new Self Extraction Directive file)，另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项，然后点击“下一步”按钮。[!--empirenews.page--] 第二步 接下来选择制作木马自解压包的三种打包方式(图2)，它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。 因为我们要制作的是木马解压包，所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。 第三步 在“确认提示”(Confirmation prompt)这一环节，软件会询问在木马程序解包前是否提示用户进行确认，由于我们是在制作木马程序的解压包，当然越隐蔽越好，选择第一项“不提示”(No prompt)，这么做的目的是让中招人毫无防备。点击“下一步”按钮，在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者，选择“显示用户允许协议”(Display a license)，点击“Browse”选择一份编辑好的TXT文档，此文档可以用微软公司的名义来编辑，设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏木马安装的过程。 第四步 现在，我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加木马和将要与木马程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如，你制作的协议和IE补丁包相关，那么你就可将木马和一个正常的IE补丁包添加进来。 随后进入安装程序选择窗口，指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如，在Install Program内设置正常的IE补丁包先运行，此时木马并未运行，在中招者看来的确是一个IE补丁包。在post install command内设置木马程序，这样在IE补丁包安装完毕时，木马程序将会在后台执行，我们的目的也就达到了。 第五步 接下来选择软件在安装过程中的显示模式(Show window)。由于我们的木马是和合法程序捆绑在一起的，所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置，由于我们做的是木马捆绑安装程序，当然应该选择“No message”。 第六步 上述设置完成后，接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”，以便隐藏解压缩过程，有助于隐藏某些木马程序启动时弹出的命令提示框。最后，设置在软件安装完成后是否重新启动(Configure reboot)，可以根据实际需要来选择。如果你所用的木马是“即插即用”的，那么就选择“No reboot”;如果所采用的木马用于开启终端服务，那么可选择“Always reboot”，同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。[!--empirenews.page--] 在保存刚才所做的设置后点击“下一步”按钮，即可开始制作木马自解压程序。 整个制作过程是在DOS下进行的，在完成度达到100%后会弹出提示窗口，点击“完成”，木马程序与合法程序的捆绑工作就完成了(格式为EXE)，直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。 现在还等什么?赶快利用“木马屠城”介绍过的网页木马传播技术或木马电子书技术发布你的木马去吧。当然，你也可以把它作为IE的重要补丁发送给别人。 不用第三方工具，无需过多的加壳伪装，让“Windows”来为我们服务，为我们捆绑木马，岂不快哉。

木马程序制作电子书的介绍到这里结束，感谢您的关注，木马编写教程、木马程序制作电子书的信息别忘了在本站进行查找喔。