NTFS文件流与RAR联手打造免杀木马(1)

　　也许从标题就可知道本文的大概意思了，不错！今天我要讲的就是NTFS文件流如何与WINRAR联手“加壳”木马。

　　小知识：流（STREAM）是NTFS下的概念，目前只有NTFS支持流。流依附于文件而存在，可以在流中存储2进制数据，文字或者其它一些东西。每个文件可以含有多个流，当流所依附的文件被删除，流也随之消失。流的名字和文件名以“：”分隔，例如：ABC：A.ABC就是文件名，而流的名字为“A.”，当我们操作流时，可以用如下的简单方法：

　　ECHO STREAM1>ABC：STREAM1

　　ECHO STREAM2>ABC：STREAM2

　　现在，ABC就有了“：STREAM1”和“：STREAM2”共2个流，而读出流可以用：

　　MORE MORE

　　废话不多说，我先介绍一下本文使用的工具：为了方便写文件流而编写的VBS脚本(Together.vbs)，它可以把一个文件随意附在你想附的文件中，意思就是我们可以把我们的木马文件放到一个不起眼的文件中。

　　首先如何用工具生成一个附在文件夹的文件流，也就是流文件名为“：*”的形式呢？先建个空的文件夹，如“muma”，之后在文件夹的同一目录上运行“together.vbs”，填写方法如图1所示：

　　首先要填的就是你想打造的木马（由于我手头没有什么木马，只好找“webdav.exe”当木马了，注意KV是要杀Webdav.exe的哦）。要注意的是木马的位置要和“together.vbs”同一目录，不然会出现找不到文件的提示，接着就要填的就是你想把你的木马依随在那个文件或文件夹（最好是文件夹）。如果是文件夹的就应这样填：例如是附在“muma”（刚才第一步建的文件夹）这个文件夹上的，就写“muma”。填写完后按“确定”生成，将提示成功。