【IT168 专稿】一些捆绑后门的来源起因：盗版使得一些小的软件厂商开发的共享软件没有市场，不得不与一些大的厂商的软件进行OEM捆绑销售，这样也使得自己带来了一定的收入。一般通过这种捆绑不会对我们造成什么危害，而下面两种方式则是主要来源。一些人为了谋求利益长将一些弹窗插件捆绑在一些常用软件中，这种靠广告来谋取利益，也称“病毒营销”。

    还有一些计算机黑客为了能广泛的在互联网上传播自己的病毒、木马程序及各类的恶意程序在一些软件中也加入后门 。俗话说“知己知彼百战不殆”，只有软件后门的加入方式才能除去它。后门没有标准的分类，例如有人把后门分为，网页后门，C/S后门，线程插入后门，扩展后门，root kit后门等等。当然本篇文章所指的后门比此分类更广义一些。本问所指的后门指软件中夹带的灰色软件（流氓软件，间谍软件，广告软件等）和黑色软件（病毒，蠕虫，ROOT KIT，木马，僵尸软件等）。在软件中加入后门的技术一般分为以下几种方式。另外对于下面的分类，不是严格划分的，你会发现捆绑里面封装里面都会需要编程的部分。

    一、 编程技术实现

    编程的实现有很多种实现方式，当然对于一个会编程的人来说是好实现的，作者可以直接写个CMDSHELL代码直接加在软件中，或者写个下载者（具有从网络下载可执行程序并执行的可执行程序）或者把别人写好的灰鸽子的服务端PCSHARE的服务端直接加在里面。这种是后门与程序集成的，一般从软件本身发现不出什么破绽。但是对于集成下载者的，如图1，图2，是有破绽的。

                                    
      
                                   图1                                                                                  图2

    打开“ResScope编辑器”客户端程序，单击“文件”菜单，选择“打开”选项，找到事先准备的软件后门程序，然后单击“打开”按钮导入，资源栏会出现软件内部的基本结构。一般看到了如图2那里，有某某URL和XXX.exe的信息这个多半是后门的特征。对于后门的实现可以结合后面我们将要介绍的X-CODE和ROOTKIT的方式来实现。这里对编程的实现，不做多说，因为下面的方式都是需要用到编程的，之所以把编程放在前面，是因为它是核心。

    二、 封装技术实现

    封装出了用到工具，对于一些隐蔽性高的一般是编程封装。
    1、 用软件包制作工具进行封装（如用FilePacker），把后门也封装进去，在封装好的文件释放到硬盘的时候，悄悄的自动运行了封装的后门。这个想必很多人都吃过这个、的苦头，例如去某个站上下载东西安装的时候就不幸中招了。这种可能被很多软件捆绑，在安装时就会出现重复的现象，CNNIC中文邮件网址、上网助手、划词搜索、网络猪、小蜜蜂、百度搜索工具条、青娱乐等软件就出现在多种软件里被集成使用。如果是装了弹窗广告软件更可怕。不但影响心情，更占用大量系统资源使计算机无法工作。

    2、 代码封装技术
    简单的方式：有编程基础的人，写一段代码将程序A和后门B都封装到可执行程序C中，在执行C的时候，先执行A在通过一段代码跳到B，把A的属性信息图标都换成A的，这样在执行C程序的时候，A与B都执行了。
复杂一点的方式和写壳差不多，写个stub，把宿主附加到它后面，替换原文件；目前很多XX加壳工具就是这样写的，称为非经典壳，更类似捆绑工具，在自己写的stub里
可以加上自己想要的更多的功能，STUB就是后门，或者STUB不是后门，把宿主附加到后面再把后门附加到后面也可以。甚至带个图标，熊猫烧香的原理里面有点类似这个原理。

    3、 用WINRAR进行封装。这里不做详细介绍了，您可以在BAIDU里面搜索：自解压缩木马制作，会有大量的文章。