百科详情

这种原理很简单，也是目前用的最多的一种。就是将B.exe附加到A.exe的末尾。这样当A.exe被执行的时候，B.exe也跟着执行了。这种捆绑器的代码是满网都是。我最早是从jingtao的一篇关于流的文章中得知的。就目前来说，已经没什么技术含量了。

检测方法：稍微懂一点PE知识的人都应该知道。一个完整有效的PE/EXE文件，他的里面都包含了几个绝对固定的特点[不管是否加壳]。一是文件以MZ开头，跟着DOS头后面的PE头以PE\0\0开头。有了这两个特点，检测就变得很简单了。只需利用UltraEdit一类工具打开目标文件搜索关键字MZ或者PE。如果找到两个或者两个以上。则说明这个文件一定是被捆绑了。不过值得注意的是，一些生成器也是利用了这个原理，将木马附加到生成器末尾，用户选择生成的时候读出来。另外网上流行的多款“捆绑文件检测工具”都是文件读出来，然后检索关键字MZ或者PE。说到这里，相信大家有了一个大概的了解。那就是所谓的“捆绑文件检测工具”是完全靠不住的一样东西。