也许从标题就可知道本文的大概意思了，不错!今天我要讲的就是NTFS文件流如何与WinRAR联手“加壳”木马。

　　小知识:流(STREAM)是NTFS下的概念，目前只有NTFS支持流。流依附于文件而存在，可以在流中存储2进制数据，文字或者其它一些东西。每个文件可以含有多个流，当流所依附的文件被删除，流也随之消失。流的名字和文件名以“:”分隔，例如:ABC:A.ABC就是文件名，而流的名字为“A.”，当我们操作流时，可以用如下的简单方法:

　　ECHO STREAM1>ABC:STREAM1

　　ECHO STREAM2>ABC:STREAM2

　　现在，ABC就有了“:STREAM1”和“:STREAM2”共2个流，而读出流可以用:

　　MORE MORE

　　废话不多说，我先介绍一下本文使用的工具:为了方便写文件流而编写的VBS脚本(Together.vbs)，它可以把一个文件随意附在你想附的文件中，意思就是我们可以把我们的木马文件放到一个不起眼的文件中。

　　首先如何用工具生成一个附在文件夹的文件流，也就是流文件名为“:*”的形式呢?先建个空的文件夹，如“muma”，之后在文件夹的同一目录上运行“together.vbs”。

　　首先要填的就是你想打造的木马(由于我手头没有什么木马，只好找“webdav.exe”当木马了，注意KV是要杀Webdav.exe的哦)。要注意的是木马的位置要和“together.vbs”同一目录，不然会出现找不到文件的提示，接着就要填的就是你想把你的木马依随在那个文件或文件夹(最好是文件夹)。如果是文件夹的就应这样填:例如是附在“muma”(刚才第一步建的文件夹)这个文件夹上的，就写“muma”。填写完后按“确定”生成，将提示成功。

　　好了，NTFS文件就生成了。难道这就是我们最后的结果吗?这和黑防原来介绍的NTFS数据流木马是同样的道理，只不过是用脚本实现的而已，没有什么新意嘛!别忘了文章标题，我们还有RAR没有使用哦!

　　蝴蝶:是不是觉得有点意外?天天与WINRAR打交道居然不知道它有这个功能。或许每个Windows的漏洞也在天天和人打交道，又有几个人发现了它们呢?

　　下一步出动我们的主角“WINRAR”，对着我们刚才用VBS做出来的文件夹点击右键，选择“添加到压缩文件”。

　　之后选择“生成自解压包”再选择“高级”选项卡，来到刚才图4那里，按图4那样勾选“保存文件流数据”，然后来到“自解压选项”里“常规”选项。注意在“解压后运行”项目中根据先前做得木马来填，如“muma:webdav.Exe”。在这里我注重的是讲解如何联合WINRAR构造木马，其它参数可根据个人喜好来填写。

　　到这里，这个木马基本上已经弄好了，只差一步:生成自解压包，大家点点鼠标就能实现了。下面是我已生成的文件的运行状态。

　　是不是觉得有点怪怪的?“WebDavScan”这个程序运行了，在进程中却没有见到它的踪影，只有“muma”这个刚生成的自解包的进程，可能秘密就在里面。由于这个程序是被KV2004列为病毒的，我们现在来看看能不能查出来。

　　如果是用WINRAR打包的文件流，KV2004是查不出来的，至于内存里也没有发现什么异常，看来这种方法还行得通哦!不过本文的只适合于Windows 2000以上的NTFS文件分区格式。

　　好了，文件就简单的介绍到这里了，大家现在可以方便的打造自己的不被杀的木马了!