文件捆绑原理：
EXE文件有点怪，在后面加个尾巴，一般仍能正常运行。文件捆绑机正是钻了这个空子，它们在一个正常文件后面，附上木马、病毒等东东；运行经过捆绑的文件，正常文件运行的同时，恶意程序也被启动。
本程序工作原理：
分析PE文件结构，得到正常文件捆绑前的本来长度。如果实际长度>本来长度，则必定在正常文件后面加了尾巴。然后对尾巴进行分析：如果尾巴的头部是可履行的头部，则该文件很可能有问题。
尾巴性质：
PE--Portable Executable（可移植的履行体）。它是Win32环境自身所带的履行体文件格式
DOS EXE--命令行程序。
包--不好判别的尾巴：(1)可能含有文件安装信息；(2)可能是安装文件制作的包；(3)也可能是文件捆绑机作的包。如果来历不明的文件有包，很可能有鬼。
疏忽小于1K的尾巴：
许多正道的文件也有尾巴。我用此程序发明MS的很多东东都有一个小小的尾巴，一般在1K以内。1K以内的尾巴是恶意东东的可能性比较小，但如果真是恶意东东，则必定非常厉害。
尾巴头部前256字节：
选择一个搜索到的文件，用16进制方法显示其头部信息。在这里你会发明很多程序的小机密 :)