这里有一篇很好的见缝插针伪造木马文章：

 将木马后门与图片或程序伪装捆绑在一起，诱使别人打开图片或执行程序，从而在后台悄悄运行木马后门，这是一种常见的木马植入手段。图片木马制造机、EXEBind等，各种各样木马捆绑合并工具大家都见得很多了，使用这些木马捆绑工具虽然可以有效地对木马进行伪装，但是面对嗅觉灵敏的杀毒软件和警惕性安全性日趋提高的上网者来说，这些捆绑工具难免会暴露一些缺点。比如，宿主文件大小在捆绑木马后会发生变化，对于一些体积较大的木马，捆绑后的文件体积变化尤其明显，稍微细心些的用户就很容易识破这种捆绑手段。
　　有没有隐藏性更高一些的木马捆绑工具呢？是否可以在捆绑了木马后让宿主文件体积不发生变化呢？最新的木马后门植入工具RobinPE，可以将后门文件藏匿在任意的EXE程序文件中，以后每次正常启动程序文件时，我们植入的文件就会悄悄的生成并执行，最重要的是植入木马后宿主文件的大小基本不发生变化。下面就以笔者的使用经历为例，向大家介绍一下这个工具的使用吧！ 
　　一、准备植入木马
　　首先是利用系统漏洞，溢出得到了一台主机Local System权限的Shell，然后克隆管理员帐号，清除了杀毒软件之类的文件上传障碍。其具体过程就不再详述了，下面主要是讲述如何将木马植入Explorer.exe进程中，再将其上传到远程主机上执行并进行控制。
　　首先需要在本地将木马植入Explorer.exe文件中，这里我们使用一个叫作“Fuck Trojan”的木马，并将对服务端程序“Server.exe”加壳处理以躲过杀毒软件的查杀。备份“Explorer.exe”文件，然后运行工具RobinPE。

　　二、计算空间——木马植入前的关键
　　使用RobinPE在正常程序中植入木马后，有一个特点就是程序将保护原来的体积大小不发生变化，从而不易被查觉。其原理就是在植入前先执行计算程序文件可利用的空间，将后门木马植入缝隙而不额外增加代码区块，因此文件的大小不会发生变化。在植入程序前，首先需要计算程序可利用空间，根据计算后得到的结果才能确定可否植入。
　　打开RobinPE后，点击界面右下角处的“整体植入”按钮，在“后门文件”项中点击浏览选择刚才的木马服务端文件“Server.exe”；然后在“整体植入”中浏览选择备份的“Explorer.exe”文件（如图1）。点击“计算空间”按钮，即可开始计算宿主文件“Explorer.exe”中剩余的空间，对比木马文件“Server.exe”的大小，判断是否可以将文件植入宿主文件中。从最后的计算结果中我们可以看到，木马文件共有“177664”字节，而宿主文件中仅剩下了26531个字节空间，因此该木马显得太大，不能植入Explorer.exe文件中（如图2）。