隐藏木马的七种技巧
木马步伐一般分为客户端步伐和办事端步伐两部门,客户端步伐用于长途控制盘算机。而办事端步伐,则隐蔽到长途盘算机中,接收并实行客户端步伐收回的下令。以是当黑客通过网络控制一台长途盘算机时,第一步就需要将办事端步伐植入到长途盘算机。为了能够让用户实行木马步伐,黑客常常通过各种方式对它进行假装,这种假装就是我们说的木马画皮。自木马诞生以来,黑客们为了木马的隐蔽性,各种假装伎俩可谓屡见不鲜,让人防不胜防。那么就让我们一同来练就一双火眼金睛,拆穿木马画皮伎俩,将这些不速之客拒之门外。
画皮第一计:图标假装
假装品级:★★★★
在Windows系统中,每种文件类型利用差别的图标进行表现,用户通过一种图标就可以方便地判断出这是那种文件类型。黑客为了利诱用户,将木马办事端步伐的图标换成一些罕见的文件类型的图标,这样当用户运行当前,噩梦也就开始了。
实例:黑洞2001办事真个安装步伐利用了文件夹的图标(图1),当你隐蔽了已知文件类型的扩展名时,这个文件看上去就是一个文件夹,当你好奇所在击它,打算进去看看有什么文件的时候,潘多拉的盒子就翻开了。
图 1
辨认要领
平常我们在运行一个文件的时候,常常风俗于利用鼠标双击运行它,这样Windows系统首先会判断文件类型翻开其关联步伐,然后再翻开这个文件。这样运行要领就很容易激活修改了图标的木马步伐。实在,我们只需要换一种方式,就可以避免。好比我们看到一个文本文件的文件后,并不要双击翻开它,而是首先翻开记事本步伐,然后通过“文件”菜单中的“翻开”下令来翻开这个文件,要是显示出的是乱码,那么这个“文本文件”就一定有问题。
宁静专家点评:调换图标是最基本的木马办事真个假装方式,但是只利用这一种方式是远远不敷的。黑客会将它和文件更名、文件捆绑等一系列的假装方式进行组合,这样才气骗得用户运行。以是不要随意实行他人发来的文件,那怕他是你的朋友也要审慎一些。
--------------------------------------------------------------------------------
画皮第二计:改名换姓
假装品级:★★★
图标修改每每和文件改名是一同进行的,黑客每每将文件的称号获得非常的诱人,好比“漂亮的妹妹”之类,骗用户去运行它。当木马办事端步伐运行当前,办事端步伐也会将自己的历程设置为和正常的系统历程类似的称号,从而利用户不容易孕育发生怀疑,被其麻木。
实例:如图2所示,这是笔者制造的木马办事端安装步伐,它在电脑上显示为“漂亮的妹妹.bmp”。要是你把它当作一个图像文件来翻开的话,笔者的木马也就在你的电脑中安营扎寨了。
图 2
辨认要领
首先要明确,岂论木马如何假装自己的图标和文件名,它的后缀部门必须是一个可实行的扩展名,好比EXE、COM、BAT等,不然木马不会运行自己的代码, 在Windows系统的默认设置下会隐蔽已知文件的扩展名,要是木马把自己的文件名改成了“XXX.bmp.exe”这个样子,扩展名“.exe”隐蔽后,木马的文件名就会酿成“XXX.bmp”,再给这个文件配一个图像文件的图标,这个文件就会酿成“一只披着羊皮的狼”。在“文件夹选项”对话框中选取“隐蔽已知文件类型的扩展名”选项,具体的操作为:翻开资源办理器,在菜单栏选择“工具→文件夹选择”翻开“文件夹选择”对话框,去掉“隐蔽已知文件类型的扩展名”复选框中的小钩即可撕掉这部门木马的画皮。
宁静专家点评:这种方式在利用P2P步伐进行文件传输的时候常常用到,并且通常是和图标假装一同利用,让用户防不胜防。以是无论从那里失掉的文件,在利用曩昔都通过杀毒软件对它进行一番查杀最好。
画皮第三计:文件捆绑
假装品级:★★★★★
文件捆绑就是通过利用文件捆绑器将木马办事端和正常的文件捆绑在一同,达到欺骗对方从而运行捆绑的木马步伐。捆绑后的文件很有利诱性,并且加上木马一般在背景运行,用户点击后不会呈现什么异状,每每会在不知不觉中中招。
实例:笔者将木马步伐捆绑在电子书后失掉的文件(图3),和文件捆绑后失掉的文件并没有损害,用户点击后仍能够看到电子书中的内容。这种要领有很大的利诱性。
图 3
辨认要领
利用木马捆绑克星、FBFD等步伐检查可疑的可实行文件,当文件进行了捆绑,步伐就会呈现类似“文件大概颠末捆绑,请警惕利用!”这样的提示。木马捆绑克星除了能检测出可实行文件中的其他步伐,并且还能把捆绑在其中的步伐分离出来。
宁静专家点评:随着人们网络宁静认识的提高,曩昔许多的黑客攻击本领已经失掉了有用的停止,但是利用文件捆绑来进行木马办事端步伐的传播,却一直受到黑客的宠爱。以是用户在运行可实行文件时,一定要提高鉴戒。
--------------------------------------------------------------------------------
画皮第四计:出错显示
假装品级:★★★
绝大多数木马办事端安装时不会呈现任何图形界面,因此,要是一个步伐双击后没有任何反响,有经验的网民就会怀疑它是木马。为了消除这部门民气中的疑虑,黑客会让木马在被运行时弹出一个错误提示对话框。
实例:现在的木马步伐,许多都有“安装终了后显示提示”的选项,比方木马HDSPY,用户在设置装备摆设办事端步伐后,在“提示内容”输出框中输出需要的提示内容,比方“文件已破坏,无法翻开”等。当用户运行办事端步伐后,就会弹出我们设置的内容。
辨认要领
要是该文件是木马步伐,用户在看到了出错信息的时候每每已经中招。以是用户看到错误信息的时候要有所戒备,这个时候就要通过扫描系统端口判断自己是否中了木马。好比可以采用X-Scan对自己的系统进行扫描。要是发明可疑端口就要进行相应的查杀。
宁静专家点评:这种要领固然在晚期可以骗得用户,但随着人们宁静认识的提高,每每给人一种“多此一举”的觉得。
画皮第五计:自我烧毁
假装品级:★★★
大多数木马自己只有一个文件,它的安装步伐实在就是木马办事端步伐,当你双击了一个木马的安装步伐后,它会把自己拷贝到系统目录或别的目录,因此,一些有经验的网民要是怀疑一个步伐是木马,它会根据安装步伐的大小在硬盘上搜刮木马文件。为了对付这部门网民,一些木马计划了自我烧毁的功效,当它把自己拷贝到系统目录或别的目录后,它会把自己删除,让你无据可查。
辨认要领
对付这种要领就需要对系统的注册表进行即时监测和利用木马利用杀毒软件对系统以及注册表进行及时监控。一般木马会在系统注册表中留下痕迹。这个时候我们就可以根据这些蛛丝马迹揪出这些木马。
宁静专家点评:利用这种方式进行木马莳植的,重要是利用了网页木马和长途溢出等方式。由于黑客利用网页木马或长途溢出,都是在用户不知情的情况下,将木马植入长途系统的。既然长途用户不知情,利用木马的自我烧毁功效就可以做到“来无影去无踪”。
画皮第六计:网页“嫁衣”
假装品级:★★★★
网页木马是黑客成功利用了系统以及一些步伐的漏洞,诱骗用户浏览某个特殊的网页,在用户浏览的时候,网页木马就会成功地利用系统的漏洞,从而将设置的木马办事端步伐“寂静地”安装到长途系统中。
实例:制造网页木马有许多现成的工具,动鲨网页木马天生器就是很优秀的一款,该木马天生器利用了微软的IE Help ActiveX控件漏洞绕过当地宁静域。
辨认要领
要是你在访问了一个不熟习的网页后,盘算机上彀的速度突然下降,甚至呈现假死的情况,那么就大概是中了网页木马了。大家可以在访问不熟习的网页前用“view-source”这个IE下令检察网页的源代码。要是发明源代码中有<IFRAME name=zhu src="ww.XXX.htm" frameBorder=0 width=0 height=0>之类的就不要访问了。
宁静专家点评:利用网页木马传播木马办事端步伐,是当前非常流行的一种要领。受益者在不经意之间就被莳植了木马步伐。对不熟习的网页最好不要去访问,要是访问后系统呈现问题要断网查杀木马。
画皮第七计:邮件附件
假装品级:★★
通过电子邮件的附件,进行简略的文件传输,原来是为了方便用户。可黑客正是看中了这一点,通过伪造一些著名的企业或用户摰友的邮件来欺骗用户,通过邮件附件来传播木马办事端步伐。
实例:黑客在邮件附件中参加木马后,一般会利用比较有利诱性的语句来骗取用户的信任。好比 “这是Windows最新的宁静补丁步伐,请运行后重新启动系统。”
辨认要领
不要立即运行邮件附件,而是将它“另存为”到一个文件夹,然后对文件夹进行查杀检测,发明问题立即删除。
宁静专家点评:利用电子邮件的附件,是最罕见的木马和病毒的传播要领。一般没有经验的用户会上当中招。但是由于许多邮件系统自带杀毒系统,以是现在已经不是很流行了。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
