利用WinRAR制作的自解壓文件，不僅可以用來加載隱蔽的木馬服務(wù)端程序，還可以用來修改對方的注冊表。比方說，攻擊者可以編寫一個名為change.reg的文件。接下來用“實(shí)例”中的辦法將這個文件制作成自解壓文件，保存為del.exe文件即可。注意在制作過程中要在“注釋”中寫上如下內(nèi)容：

Path=c:Windows

Setup=regedit /s change.reg

Silent=1

Overwrite=1

完成后按“確定”按扭，就會建立出一個名為del.exe的Winrar自解壓程序，雙擊運(yùn)行這個文件，將不會有導(dǎo)入注冊表時的提示信息(這就是給regedit加上“/s”參數(shù)的原因)就修改了注冊表鍵值，并把change.reg拷貝到C:Windows文件夾下。

此時你的注冊表已經(jīng)被修改了!不僅如此，攻擊者還可以把這個自解壓文件del.exe和木馬服務(wù)端程序或硬盤炸彈等用WinRAR捆綁在一起，然后制作成自解壓文件，那樣對大家的威脅將更大!因?yàn)樗�不僅能破壞注冊表，還會破壞大家的硬盤數(shù)據(jù)，想想看是不是很可怕?

從上面的實(shí)例中不難看出，WinRAR的自解壓功能真的是太強(qiáng)大了，它能使得不會編程的人也能在短時間內(nèi)制作出非常狠毒的惡意程序。而且對于含有木馬或惡意程序的自解壓文件，目前許多流行的殺毒軟件和木馬查殺軟件竟無法查出其中有問題存在!不信的話，大家可以做個試驗(yàn)，就知道結(jié)果了。

那么該怎樣識別用WinRAR捆綁過的木馬呢?只要能發(fā)現(xiàn)自釋放文件里面隱藏有多個文件，特別是多個可執(zhí)行文件，就可以判定其中含有木馬!那么怎樣才能知道自釋放文件中含有幾個文件，是哪些文件呢?一個簡單的識別的方法是：

用鼠標(biāo)右擊WinRAR自釋放文件，在彈出菜單中選擇“屬性”，在“屬性”對話框中你會發(fā)現(xiàn)較之普通的EXE文件多出兩個標(biāo)簽，分別是：“檔案文件”和“注釋”，單擊“注釋”標(biāo)簽，看其中的注釋內(nèi)容，你就會發(fā)現(xiàn)里面含有哪些文件了，這樣就可以做到心中有數(shù)，這是識別用WinRAR捆綁木馬文件的最好方法。

最后再告訴大家一個防范方法，遇到自解壓程序不要直接運(yùn)行，而是選擇右鍵菜單中的“用WinRAR打開”，這樣你就會發(fā)現(xiàn)該文件中到底有什么了。