組圖:火眼金睛識木馬 木馬偽裝七計
畫皮第一計:圖標偽裝
偽裝等級:★★★★
在Windows系統中,每種文件類型使用不同的圖標進行表示,用戶通過一種圖標就可以輕易地判斷出這是那種文件類型。黑客為了迷惑用戶,將木馬服務端程序的圖標換成一些常見的文件類型的圖標,這樣當用戶運行以後,噩夢也就開始了。
實例:黑洞2001服務端的安裝程序使用了文件夾的圖標(圖1),當你隱藏了已知文件類型的擴展名時,這個文件看上去就是一個文件夾,當你好奇地點擊它,打算進去看看有什麼文件的時候,潘多拉的盒子就打開了。
圖 1
識別方法
平時我們在運行一個文件的時候,常常習慣於利用滑鼠雙擊運行它,這樣Windows系統首先會判斷文件類型打開其關聯程序,然後再打開這個文件。這樣運行方法就很容易激活修改了圖標的木馬程序。其實,我們只需要換一種方式,就可以避免。比如我們看到一個文本文件的文件後,並不要雙擊打開它,而是首先打開記事本程序,然後通過「文件」菜單中的「打開」命令來打開這個文件,如果顯示出的是亂碼,那麼這個「文本文件」就肯定有問題。
安全專家點評:更換圖標是最基本的木馬服務端的偽裝方式,但是只使用這一種方式是遠遠不夠的。黑客會將它和文件更名、文件捆綁等一系列的偽裝方式進行組合,這樣才能騙得用戶運行。所以不要隨意執行別人發來的文件,那怕他是你的朋友也要謹慎一些。
畫皮第二計:改名換姓
偽裝等級:★★★
圖標修改往往和文件改名是一起進行的,黑客往往將文件的名稱取得非常的誘人,比如「漂亮的妹妹」之類,騙用戶去運行它。當木馬服務端程序運行以後,服務端程序也會將自己的進程設置為和正常的系統進程相似的名稱,從而使用戶不容易產生懷疑,被其麻痺。
實例:如圖2所示,這是筆者製作的木馬服務端安裝程序,它在電腦上顯示為「漂亮的妹妹.bmp」。如果你把它當作一個圖像文件來打開的話,筆者的木馬也就在你的電腦中安營紮寨了。
圖 2
識別方法
首先要明確,不論木馬如何偽裝自己的圖標和文件名,它的後綴部分必須是一個可執行的擴展名,比如EXE、COM、BAT等,否則木馬不會運行自己的代碼, 在Windows系統的默認設置下會隱藏已知文件的擴展名,如果木馬把自己的文件名改成了「XXX.bmp.exe」這個樣子,擴展名「.exe」隱藏後,木馬的文件名就會變成「XXX.bmp」,再給這個文件配一個圖像文件的圖標,這個文件就會變成「一隻披著羊皮的狼」。在「文件夾選項」對話框中選取「隱藏已知文件類型的擴展名」選項,具體的操作為:打開資源管理器,在菜單欄選擇「工具→文件夾選擇」打開「文件夾選擇」對話框,去掉「隱藏已知文件類型的擴展名」 復選框中的小鉤即可撕掉這部分木馬的畫皮。
安全專家點評:這種方式在利用P2P程序進行文件傳輸的時候常常用到,而且通常是和圖標偽裝一起使用,讓用戶防不勝防。所以無論從那裡得到的文件,在使用以前都通過殺毒軟體對它進行一番查殺最好。
畫皮第三計:文件捆綁
偽裝等級:★★★★★
文件捆綁就是通過使用文件捆綁器將木馬服務端和正常的文件捆綁在一起,達到欺騙對方從而運行捆綁的木馬程序。捆綁後的文件很有迷惑性,而且加上木馬一般在後臺運行,用戶點擊後不會出現什麼異狀,往往會在不知不覺中中招。
實例:筆者將木馬程序捆綁在電子書後得到的文件(圖3),和文件捆綁後得到的文件並沒有損害,用戶點擊後仍能夠看到電子書中的內容。這種方法有很大的迷惑性。
圖 3
識別方法
使用木馬捆綁剋星、FBFD等程序檢查可疑的可執行文件,當文件進行了捆綁,程序就會出現類似「文件可能經過捆綁,請小心使用!」這樣的提示。木馬捆綁剋星除了能檢測出可執行文件中的其他程序,而且還能把捆綁在其中的程序分離出來。
安全專家點評:隨著人們網路安全意識的提高,以前很多的黑客攻擊手段已經得到了有效的遏制,可是利用文件捆綁來進行木馬服務端程序的傳播,卻一直受到黑客的鍾愛。所以用戶在運行可執行文件時,一定要提高警惕。
畫皮第四計:出錯顯示
偽裝等級:★★★
絕大多數木馬服務端安裝時不會出現任何圖形界面,因此,如果一個程序雙擊後沒有任何反應,有經驗的網民就會懷疑它是木馬。為了消除這部分人心中的疑慮,黑客會讓木馬在被運行時彈出一個錯誤提示對話框。
實例:如今的木馬程序,很多都有「安裝完畢後顯示提示」的選項,例如木馬HDSPY,用戶在配置服務端程序後,在「提示內容」輸入框中輸入需要的提示內容,例如「文件已損壞,無法打開」等。當用戶運行服務端程序後,就會彈出我們設置的內容。
識別方法
如果該文件是木馬程序,用戶在看到了出錯信息的時候往往已經中招。所以用戶看到錯誤信息的時候要有所警覺,這個時候就要通過掃瞄系統埠判斷自己是否中了木馬。比如可以採用X-Scan對自己的系統進行掃瞄。如果發現可疑埠就要進行相應的查殺。
安全專家點評:這種方法雖然在早期可以騙得用戶,但隨著人們安全意識的提高,往往給人一種「畫蛇添足」的感覺。
畫皮第五計:自我銷毀
偽裝等級:★★★
大多數木馬本身只有一個文件,它的安裝程序其實就是木馬服務端程序,當你雙擊了一個木馬的安裝程序後,它會把自己拷貝到系統目錄或其它目錄,因此,一些有經驗的網民如果懷疑一個程序是木馬,它會根據安裝程序的大小在硬碟上搜索木馬文件。為了對付這部分網民,一些木馬設計了自我銷毀的功能,當它把自己拷貝到系統目錄或其它目錄後,它會把自己刪除,讓你無據可查。
識別方法
對於這種方法就需要對系統的註冊表進行即時監測和使用木馬利用殺毒軟體對系統以及註冊表進行及時監控。一般木馬會在系統註冊表中留下痕跡。這個時候我們就可以根據這些蛛絲馬跡揪出這些木馬。
安全專家點評:利用這種方式進行木馬種植的,主要是利用了網頁木馬和遠程溢出等方式。因為黑客利用網頁木馬或遠程溢出,都是在用戶不知情的情況下,將木馬植入遠程系統的。既然遠程用戶不知情,利用木馬的自我銷毀功能就可以做到「來無影去無蹤」。
畫皮第六計:網頁「嫁衣」
偽裝等級:★★★★
網頁木馬是黑客成功利用了系統以及一些程序的漏洞,誘騙用戶瀏覽某個特殊的網頁,在用戶瀏覽的時候,網頁木馬就會成功地利用系統的漏洞,從而將設置的木馬服務端程序「悄悄地」安裝到遠程系統中。
實例:製作網頁木馬有很多現成的工具,動鯊網頁木馬生成器就是很優秀的一款,該木馬生成器利用了微軟的IE Help ActiveX控制項漏洞繞過本地安全域。
識別方法
如果你在訪問了一個不熟悉的網頁後,計算機上網的速度突然下降,甚至出現假死的情況,那麼就可能是中了網頁木馬了。大家可以在訪問不熟悉的網頁前用 「view-source」這個IE命令查看網頁的源代碼。如果發現源代碼中有<IFRAME name=zhu src="ww.XXX.htm" frameBorder=0 width=0 height=0>之類的就不要訪問了。
安全專家點評:利用網頁木馬傳播木馬服務端程序,是當前非常流行的一種方法。受害者在不經意之間就被種植了木馬程序。對不熟悉的網頁最好不要去訪問,如果訪問後系統出現問題要斷網查殺木馬。
畫皮第七計:郵件附件
偽裝等級:★★
通過電子郵件的附件,進行簡單的文件傳輸,本來是為了方便用戶。可黑客正是看中了這一點,通過偽造一些著名的企業或用戶好友的郵件來欺騙用戶,通過郵件附件來傳播木馬服務端程序。
實例:黑客在郵件附件中加入木馬後,一般會使用比較有迷惑性的語句來騙取用戶的信任。比如 「這是Windows最新的安全補丁程序,請運行後重新啟動系統。」
識別方法
不要立即運行郵件附件,而是將它「另存為」到一個文件夾,然後對文件夾進行查殺檢測,發現問題立即刪除。
安全專家點評:利用電子郵件的附件,是最常見的木馬和病毒的傳播方法。一般沒有經驗的用戶會上當中招。但是因為很多郵件系統自帶殺毒系統,所以現在已經不是很流行了。
短网址: 版權所有,任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。
【誠徵榮譽會員】溪流能夠匯成大海,小善可以成就大愛。我們向全球華人誠意徵集萬名榮譽會員:每位榮譽會員每年只需支付一份訂閱費用,成為《看中國》網站的榮譽會員,就可以助力我們突破審查與封鎖,向至少10000位中國大陸同胞奉上獨立真實的關鍵資訊, 在危難時刻向他們發出預警,救他們於大瘟疫與其它社會危難之中。
看完這篇文章您覺得
- 【貫明專欄】臺灣最美的海灣 人間仙境七星潭(視頻)
- 水果皇后——草莓(組圖)
- 戰火無情 造化弄人 那一代人的離合滄桑(組圖)
- 千年前的人類抵禦矮人「他」化為惡龍(圖)
- 龍年龍抬頭地龍翻身 世界已現動盪不祥之兆(組圖)
- 世界上最貴的歌 4句歌詞火遍全球(組圖)
- 組圖:看完後沒有女人不感動的
- 繽紛動人 藝術體操美少女(組圖)
- 組圖:去賓館開房的注意了 小心偷拍!
- 組圖: 平時絕少看到的飛機失事圖片
- 組圖:四十歲以上女明星風韻大比拚
- 組圖:歷史巨痛 日軍慰安婦珍貴圖片集
- 組圖:大陸小偷們的真實偷拍
- 品質:一美麗白領的浪漫生活(組圖)
- 中共肺炎(又称武漢肺炎)
- 病毒
- COVID-19
- 疫苗
- 台鐵
- 拜登
- 川普
- 特朗普
- 國安法
- 貿易戰
- 習近平
- 華為
- 三峽大壩
- 新疆棉
- 長江
- 洪水
- 袁弓夷
- 港版國安法
- 漢光演習
- 國民黨
- 退黨
- 弗洛伊德
- BLM
- 中共
- 閻麗夢
- 金正恩
- 王岐山
- 賴清德
- 孟晚舟
- 關稅
- 邊境牆
- 彭斯
- 美國
- 貿易談判
- 劉鶴
- 王滬寧
- 江澤民
- 崔永元
- 中南海
- 內幕
- 中共
- 反送中
- 貪官
- 情婦
- 腐敗
- 反腐
- 打虎
- 官場
- 看中國
- 一國兩制
- 法廣
- 社交媒體
- 往事微痕
- 出賣國土
- FB
- 六四
- 朝鮮
- 加拿大
- 脫歐
- 央行
- 債務
- 槓桿
- 美元
- 貨幣
- 人民幣
- 歐元
- 日元
- 港幣
- 房地產
- 樓市
- 財政
- 財富
- 中產
- 海參崴
- 台灣
- 蔡英文
- 北京
- 劉強東
- 大媽
- 房價
- 疫苗
- 非洲豬瘟
- 大陸
- P2P
- 霧霾
- 基因編輯
- 防火牆
- 維權
- 709律師
- 上訪
- 法輪功
- 網絡審查
- 活摘器官
- 江東六十四屯
- 唐努烏梁海
- 長白山
- 白龍尾島
- 江心坡
- SARS
- 新疆勞改營
- 言論自由
- 女主播
- 央視
- 華人
- 移民
- 華人
- 留學
- 海關
- 遣返
- 簽證
- 回國
- 入籍
- 綠卡
- 民生
- 海外
- 加拿大
- 澳洲
- 民國
- 桂軍
- 抗戰
- 孫中山
- 蔣介石
- 宋美齡
- 鄧小平
- 林彪
- 劉奇
- 中共
- 皇帝
- 諸葛亮
- 易經
- 幽默人生
- 智慧
- 感悟
- 手機
- 預言
- 奇聞
- UFO
- 外星人
- 壽命
- 文革
- 養生
- 紫鳳
- 貫明
- 李道真
- 軼飛
- 李雲飛
- 雲中君
- 辛思
- 夏聞
- 時代漫談
- 滄海
- 東方縱橫
- 唐柏橋
- 王尚一
- 江楓
- 黃清
- 李唐風
- 園丁
- 今濤拍暗
- 李青城
- 秦就石
- 中經研
- 秦天靖
- 江浩
- Eagle Vision
- 李子壬
- 馬新宇
- 馬來啟
- 紫君
- 秦山
- 陳破空
- 戴東尼
- 曹長青
- 邢仁濤
- 瑜正
- 簡易
- 肖川
- 伍凡
- 顧言
- 歸瑜
- 乙欣
- 陳泱潮
- 徐沛
- 作繭自縛 中共一步步成了全世界的敵人(圖)
- 市長社區文章:紐約市的輝煌成就(圖)
- 全美最熱房地產市場 房價一年飆升52%(圖)
- 首季IPO集資僅得47億 李家超豪言今年可望集資千億(視頻)
- 穿同款服裝要報備?上海4人江邊跑步保安攔停(圖)