木马为什么防不胜防?其中一个重要原因就是它特别善于伪装，比如把自己与正常程序捆绑在—起，欺骗用户来运行。除了木马，还有很多恶意软件也在使用“捆绑”这种方法。
　　
　　文件捆绑来龙去脉
　　
　　捆绑方法不断地推陈出新，到目前为止大概经历了三个不同的时期。最早只是将一个文件添加到另一个文件的尾部，运行时要先分解再运行。常见的“EXE文件捆绑机”、“万能文件捆绑器”、“GWBinder2002”等是这类捆绑程序的代表。
　　接着，出现了利用一些压缩程序来捆绑文件，实际上就是将多个文件压缩到一起，利用程序的自解压功能来执行操作。我们常用的WinRAR也可以作为这类捆绑工具(在本文最后有具体方法)。
　　再后来的捆绑是将文件插入到程序的内部，因为每个应用程序内部都有一定的空间可以被利用。这样就可以保证被插入的程序“原封不动”，这样就更具有迷惑性和欺骗性。这类程序的代表包括“RobinPE”、“EkChuah”等。
　　其实，文件捆绑并非是黑客的专利，例如Windows自带的一款名为IExpress的小工具，它可以制造出各种CAB格式的压缩文件和自解压程序。IExpress使用了多种不同的自解压文件技术对软件更新信息进行打包，这些格式能够自动运行程序包中的程序，比如常见的系统补丁。当然，你也可以用它来捆绑木马。
　　
　　黑客们怎样捆绑木马
　　
　　下面用一款全新的捆绑工具Ek Chuah，来为大家进行木马捆绑的演示。运行Ek Chuah程序，点击“相关设置”中的“基本设置”，在“待合并文件”中设置准备捆绑的文件，黑客们要准备的就是木马了。接着在下面的“宿主文件”设置被捆绑的文件，这里可以任意的选择一个应用程序。
　　Ek Chuah程序本身提供了三种捆绑方式。“搜索多余空字节”是在捆绑文件中搜索程序内部缝隙，尝试把待捆绑文件分散插入到缝隙中；“扩展最后—节表”是把捆绑文件的最后一个节表，增加到待合并文件的大小然后插人文件；“加入新节表”可以说是第二种方法的延续，只不过是添加一个新的节表。这里我们选择第二项“扩展最后一节表”。
　　现在点击“高级设置”选项，包括人口点模糊EPO、文件体加密、文件头多态等三个项目。入口点模糊(EPO)技术主要可以防止被杀毒软件在入口点进行特征码的提取，确保不会被杀毒软件所查杀。其余两项也都是用于防范杀毒软件的，按照默认的进行设置，设置完成后就点击“开始合并”进行合并即可生成带木马的新程序!
　　
　　用WinRAR玩捆绑
　　
　　前面已经提到文件捆绑并不是黑客的专利，如果你想体验下捆绑，那就打开电脑中的WinRAR程序，并准备好两个EXE可执行文件(假设文件名为“正常程序.exe”和“木马.exe”)。
　　Step 1把它们添加生成一个新的自解压文件，接下来点击“高级”选项卡，然后单击“SFX选项”按钮，会出现“高级自释放选项”对话框，“释放路径”可以随便填。在“释放后运行”中输入“木马.exe”。
　　Step 2接着选择“模式”标签，选中“全部隐藏”和“覆盖所有文件”选项，这是为了不让RAR文件解压的时候弹出提示窗口。
　　Step 3点击“文字和图标”标签，通过“浏览”按钮选择一个喜欢的图标就可以呢。点击“确定”按钮返回，在同一个目录下就会生成一个与RAR同名的EXE文件，这个就是用WINRAR“捆绑”后的文件了。
　　捆绑这种方法也有一些好的应用例子，比如我们完全可以将系统补丁，利用“捆绑”集合在一起，系统重装以后就可以一次性安装成功，省去逐个下载安装的麻烦。