拒絕不速之客入侵 拆穿木馬偽裝七計-ZT (圖)

本文內容已被 [ 八月的獅子 ] 在 2006-03-10 19:38:45 編輯過。如有問題,請報告版主或論壇管理刪除.

木馬程序一般分為客戶端程序和服務端程序兩部分,客戶端程序用於遠程控製計算機。而服務端程序,則隱藏到遠程計算機中,接收並執行客戶端程序發出的命令。所以當黑客通過網絡控製一台遠程計算機時,第一步就需要將服務端程序植入到遠程計算機。 為了能夠讓用戶執行木馬程序,黑客常常通過各種方式對它進行偽裝,這種偽裝就是我們說的木馬畫皮。自木馬誕生以來,黑客們為了木馬的隱蔽性,各種偽裝伎倆可謂層出不窮,讓人防不勝防。那麽就讓我們一起來練就一雙火眼金睛,拆穿木馬畫皮伎倆,將這些不速之客拒之門外。 畫皮第一計:圖標偽裝 偽裝等級:★★★★ 在Windows係統中,每種文件類型使用不同的圖標進行表示,用戶通過一種圖標就可以輕易地判斷出這是那種文件類型。黑客為了迷惑用戶,將木馬服務端程序的圖標換成一些常見的文件類型的圖標,這樣當用戶運行以後,噩夢也就開始了。 實例:黑洞2001服務端的安裝程序使用了文件夾的圖標(圖1),當你隱藏了已知文件類型的擴展名時,這個文件看上去就是一個文件夾,當你好奇地點擊它,打算進去看看有什麽文件的時候,潘多拉的盒子就打開了。 圖1 識別方法 平時我們在運行一個文件的時候,常常習慣於利用鼠標雙擊運行它,這樣Windows係統首先會判斷文件類型打開其關聯程序,然後再打開這個文件。這樣運行方法就很容易激活修改了圖標的木馬程序。其實,我們隻需要換一種方式,就可以避免。比如我們看到一個文本文件的文件後,並不要雙擊打開它,而是首先打開記事本程序,然後通過“文件”菜單中的“打開”命令來打開這個文件,如果顯示出的是亂碼,那麽這個“文本文件”就肯定有問題。 安全專家點評:更換圖標是最基本的木馬服務端的偽裝方式,但是隻使用這一種方式是遠遠不夠的。黑客會將它和文件更名、文件捆綁等一係列的偽裝方式進行組合,這樣才能騙得用戶運行。所以不要隨意執行別人發來的文件,那怕他是你的朋友也要謹慎一些。 畫皮第二計:改名換姓 偽裝等級:★★★ 圖標修改往往和文件改名是一起進行的,黑客往往將文件的名稱取得非常的誘人,比如“漂亮的妹妹”之類,騙用戶去運行它。當木馬服務端程序運行以後,服務端程序也會將自己的進程設置為和正常的係統進程相似的名稱,從而使用戶不容易產生懷疑,被其麻痹。 實例:如圖2所示,這是筆者製作的木馬服務端安裝程序,它在電腦上顯示為“漂亮的妹妹.bmp”。如果你把它當作一個圖像文件來打開的話,筆者的木馬也就在你的電腦中安營紮寨了。 圖2 識別方法 首先要明確,不論木馬如何偽裝自己的圖標和文件名,它的後綴部分必須是一個可執行的擴展名,比如EXE、COM、BAT等,否則木馬不會運行自己的代碼,在Windows係統的默認設置下會隱藏已知文件的擴展名,如果木馬把自己的文件名改成了“XXX.bmp.exe”這個樣子,擴展名“.exe”隱藏後,木馬的文件名就會變成“XXX.bmp”,再給這個文件配一個圖像文件的圖標,這個文件就會變成“一隻披著羊皮的狼”。 在“文件夾選項”對話框中選取“隱藏已知文件類型的擴展名”選項,具體的操作為:打開資源管理器,在菜單欄選擇“工具→文件夾選擇”打開“文件夾選擇”對話框,去掉“隱藏已知文件類型的擴展名”複選框中的小鉤即可撕掉這部分木馬的畫皮。 安全專家點評:這種方式在利用P2P程序進行文件傳輸的時候常常用到,而且通常是和圖標偽裝一起使用,讓用戶防不勝防。所以無論從那裏得到的文件,在使用以前都通過殺毒軟件對它進行一番查殺最好。 畫皮第三計:文件捆綁 偽裝等級:★★★★★ 文件捆綁就是通過使用文件捆綁器將木馬服務端和正常的文件捆綁在一起,達到欺騙對方從而運行捆綁的木馬程序。捆綁後的文件很有迷惑性,而且加上木馬一般在後台運行,用戶點擊後不會出現什麽異狀,往往會在不知不覺中中招。 畫皮第四計:出錯顯示 偽裝等級:★★★ 絕大多數木馬服務端安裝時不會出現任何圖形界麵,因此,如果一個程序雙擊後沒有任何反應,有經驗的網民就會懷疑它是木馬。為了消除這部分人心中的疑慮,黑客會讓木馬在被運行時彈出一個錯誤提示對話框。 實例:如今的木馬程序,很多都有“安裝完畢後顯示提示”的選項,例如木馬HDSPY,用戶在配置服務端程序後,在“提示內容”輸入框中輸入需要的提示內容,例如“文件已損壞,無法打開”等。當用戶運行服務端程序後,就會彈出我們設置的內容。 識別方法 如果該文件是木馬程序,用戶在看到了出錯信息的時候往往已經中招。所以用戶看到錯誤信息的時候要有所警覺,這個時候就要通過掃描係統端口判斷自己是否中了木馬。比如可以采用X-Scan對自己的係統進行掃描。如果發現可疑端口就要進行相應的查殺。 安全專家點評:這種方法雖然在早期可以騙得用戶,但隨著人們安全意識的提高,往往給人一種“畫蛇添足”的感覺。 畫皮第五計:自我銷毀 偽裝等級:★★★ 大多數木馬本身隻有一個文件,它的安裝程序其實就是木馬服務端程序,當你雙擊了一個木馬的安裝程序後,它會把自己拷貝到係統目錄或其它目錄,因此,一些有經驗的網民如果懷疑一個程序是木馬,它會根據安裝程序的大小在硬盤上搜索木馬文件。為了對付這部分網民,一些木馬設計了自我銷毀的功能,當它把自己拷貝到係統目錄或其它目錄後,它會把自己刪除,讓你無據可查。 識別方法 對於這種方法就需要對係統的注冊表進行即時監測和使用木馬利用殺毒軟件對係統以及注冊表進行及時監控。一般木馬會在係統注冊表中留下痕跡。這個時候我們就可以根據這些蛛絲馬跡揪出這些木馬。 安全專家點評:利用這種方式進行木馬種植的,主要是利用了網頁木馬和遠程溢出等方式。因為黑客利用網頁木馬或遠程溢出,都是在用戶不知情的情況下,將木馬植入遠程係統的。既然遠程用戶不知情,利用木馬的自我銷毀功能就可以做到“來無影去無蹤”。 畫皮第六計:網頁“嫁衣” 偽裝等級:★★★★ 網頁木馬是黑客成功利用了係統以及一些程序的漏洞,誘騙用戶瀏覽某個特殊的網頁,在用戶瀏覽的時候,網頁木馬就會成功地利用係統的漏洞,從而將設置的木馬服務端程序“悄悄地”安裝到遠程係統中。 實例:製作網頁木馬有很多現成的工具,動鯊網頁木馬生成器就是很優秀的一款,該木馬生成器利用了微軟的IEHelp ActiveX控件漏洞繞過本地安全域。 畫皮第七計:郵件附件 偽裝等級:★★ 通過電子郵件的附件,進行簡單的文件傳輸,本來是為了方便用戶。可黑客正是看中了這一點,通過偽造一些著名的企業或用戶好友的郵件來欺騙用戶,通過郵件附件來傳播木馬服務端程序。 實例:黑客在郵件附件中加入木馬後,一般會使用比較有迷惑性的語句來騙取用戶的信任。比如 “這是Windows最新的安全補丁程序,請運行後重新啟動係統。” 識別方法 不要立即運行郵件附件,而是將它“另存為”到一個文件夾,然後對文件夾進行查殺檢測,發現問題立即刪除。 安全專家點評:利用電子郵件的附件,是最常見的木馬和病毒的傳播方法。一般沒有經驗的用戶會上當中招。但是因為很多郵件係統自帶殺毒係統,所以現在已經不是很流行了。

所有跟帖: 

有借鑒作用 -夏枯草- 給 夏枯草 發送悄悄話 (0 bytes) () 03/03/2006 postreply 11:41:28

請您先登陸,再發跟帖!