关于WinRAR压缩包挂马

高手进！如何使用压缩包挂马而不被查出（不是普通的那种）？望高手赐教！

我教你拉~！压缩包玩黑是大部分人玩黑常用的方法，包括我。使用WinRAR制作一个exe的自解压文件，这里，可以对界面进行美化，在自解压时显示任意的文件或图片。然后，通过界面的再定义欺骗对方在解压前执行网页木马（只要打开自解压文件，它就会自动运行）！明白？

引用别人一个文章，

前提是木马绝对的免杀,这样做就能隐藏你很好的劳动成果!rarar捆绑后的完美解决.

前提是免杀的服务端,捆绑后就是做成自解压文件后，右键会出现一个“用WINRAR打开”的选项 如果别人真的打开了，那么我们的秘密不就暴露了吗？现在我们来解决它:

用到的工具：WINRAR WINHEX OD

以下就要开工了，用WINHEX打开它（目标：去除“用WINRAR打开”的选项）

查找rar!

rar!是WINRAR自解压文件识别压缩文件的标识

把查找到的rar!右边的16进制数值，也就是52 61 72 21

把其中的61改成60，保存文件

现在再看看，“用WINRAR打开”不见了，打开看看吧

压缩文件格式未知或已经损坏

压缩文件格式未知或已经损坏，损坏了，是因为他找不到压缩文件的标识，

我们用OD来修改吧~~~，用OD载入他

右键→查找→所有常量

输入52

双击cmp byte ptr ds:[edx],52

来到 0040704E |. 803A 52 CMP BYTE PTR DS:[EDX],52 00407051 |. 75 2D JNZ SHORT 测试.00407080 00407053 |. 807A 01 61 CMP BYTE PTR DS:[EDX+1],61 00407057 |. 75 27 JNZ SHORT 测试.00407080 00407059 |. 807A 02 72 CMP BYTE PTR DS:[EDX+2],72 0040705D |. 75 21 JNZ SHORT 测试.00407080 0040705F |. 807A 03 21 CMP BYTE PTR DS:[EDX+3],21 00407063 |. 75 1B JNZ SHORT 测试.00407080 00407065 |. 807A 04 1A CMP BYTE PTR DS:[EDX+4],1A

把这一段汇编 把61改成60（对应上面修改的数值）

保存修改后的文件

看一下修改后的文件

右键中的“用WINRAR打开”不见了，看看文件可以正常运行不

运行正常，服务端正常运行!!

可以去右键打开。至于完全隐藏不可能。因为网马打开都会比较卡。至于RAR里面会显示网站的框架。建议把网马主页加一个美女图片。先看到是美女图片，在后台运行的是网马