由于没有使用过RobinPE，我决定先在本地计算机上进行测试。从网上下载并运行RobinPE，点击“后门文件”选项后的“浏览”按钮，选择要插入的恶意程序。为了便于查看效果，我在这里设置了一款名为“激活专家”的小工具。
　　接着点击“整体植入”选项后的“浏览”按钮，选择被插入的正规文件，我在这选择了现在非常流行的播放器Media Player Classic（MPC）。
　　由于RobinPE只有在经过计算以后才能知道被植入的程序是否可以“容纳下”设置的恶意程序，点击“计算空间”按钮后很快就可以得出结论，如果给出“估计不行”的提示，就表明程序的间隙较小，不能容纳设置的恶意程序，所以恶意文件的体积一定不能过大。
　　如果程序提示“可以试试”后，就可以进行插入操作。在植入的方式上，既可以采用“整体植入”，也可以采用“分体植入”的方法。点击“开始植入”按钮，假如植入失败的话，程序就会出现错误提示，并退出RobinPE。
　　如果植入成功的话，RobinPE虽然不会出现任何的提示，但是从主窗口的下方可以查看到被植入的程序代码。通过测试，我向表妹介绍了RobinPE的利用原理：可执行文件由于编程的原因，大部分PE文件区间存在一定的间隙，RobinPE正好利用这些间隙将恶意程序插入到文件之中，由于是植入缝隙并没有增加区块，所以文件大小不变。
防不胜防的注入捆绑
　　可是当我在给表妹演示将灰鸽子的服务端程序植入到MPC中的时候，由于服务端程序过大，不能成功的进行植入，这下却将我难住了。我心想：虽然RobinPE可以植入其他一些体积较小的木马服务端程序，但那些木马都用得不顺手，怎么办呢？
　　后来表妹的一句话提醒了我：“是不是文件的空间不够多？”我明白由于正常的可执行文件的空隙有限，因此要想在一个可执行文件中插入一个体积较大的木马程序，就必须增大空隙，而增大空隙的方法只有一个——增加区块。
　　小贴士：增加区块既可以通过手工增加，也可以通过工具进行增加，大多数人会通过工具进行区块添加，一般选择的工具是ZeroAdd。
　　我运行ZeroAdd，点击“Pick a file”按钮选择MPC程序，接着在“Enter a name for the new section”选项中设置新建的区块名称，名称可以随便起，但只能是英文；然后“Enter # of bytes to add (in hex)”选项中填入增加的字节数，字节数最好是200的倍数，不然由于对齐的原因，可能造成程序无法运行；最后点击“Add new section!”按钮，就可以进行区块的添加。
　　植入成功，经过测试也能成功运行被植入的恶意程序。表妹问我这种注入捆绑和传统的捆绑文件又有什么区别呢？于是我决定通过以前对捆绑文件进行检测的方法，来对这种见缝插针的植入方法进行检测，如果没有检测出来，就表明这种方法和以前的捆绑文件还是有本质的区别的。
　　以前对捆绑文件的检测方法，一般分为三种，分别是通过杀毒软件、十六位编辑器、以及捆绑文件进行检测。首先我通过杀毒软件进行检测，没有发现病毒；接着通过Ultra Edit打开注入木马后的MPC，查找“This program”字段，发现有两处；用MT 捆绑克星查看同样发现两处文件头。虽然有两种方法依然可以检测出来，但我在通过加壳处理后，三种方法都无法检测出来了。“怪不得这个程序被进行了加壳处理”，我心想。
为MM支招
　　这种注入捆绑的方法是最近开始流行的，暂时还没有什么特别有效的防范方法。主要还是不要从不熟悉的网站下载文件，如果网站提供了文件的MD5值，最好对下载的文件检测一下。
　　由于并不是每个网站都提供了MD5值，所以最好还是通过杀毒软件和网络防火墙来进行防范。通过杀毒软件的注册表监控程序来时时监控注册表的变化，现在最新的杀毒软件都有注册表监控的功能。一旦发现可疑的文件，一定要注意注册表的变化，尤其是关于启动项键值的相关变化，然后再判断是否进行程序的安装运行。

帖子质量蛮高,只是有的东西偶还搞不懂,只能借助于别的软件来查毒和清理木马程序!

...............

莫非乱马也是一种木马程序?