拒絕黑客入侵拆穿木馬偽裝的七大安全策略

1、拒絕黑客入侵 拆穿木馬偽裝的七大安全策略    木馬程序一般分為客戶端程序和服務(wù)端程序兩部分，客戶端程序用于遠(yuǎn)程控制計(jì)算機(jī)。而服務(wù)端程序，則隱藏到遠(yuǎn)程計(jì)算機(jī)中，接收并執(zhí)行客戶端程序發(fā)出的命令。所以當(dāng)黑客通過(guò)網(wǎng)絡(luò)控制一臺(tái)遠(yuǎn)程計(jì)算機(jī)時(shí)，第一步就需要將服務(wù)端程序植入到遠(yuǎn)程計(jì)算機(jī)。為了能夠讓用戶執(zhí)行木馬程序，黑客常常通過(guò)各種方式對(duì)它進(jìn)行偽裝，這種偽裝就是我們說(shuō)的木馬畫(huà)皮。自木馬誕生以來(lái)，黑客們?yōu)榱四抉R的隱蔽性，各種偽裝伎倆可謂層出不窮，讓人防不勝防。那么就讓我們一起來(lái)練就一雙火眼金睛，拆穿木馬畫(huà)皮伎倆，將這些不速之客拒之門外。 畫(huà)皮第一計(jì):圖標(biāo)偽裝 偽

2、裝等級(jí): 在Windows系統(tǒng)中，每種文件類型使用不同的圖標(biāo)進(jìn)行表示，用戶通過(guò)一種圖標(biāo)就可以輕易地判斷出這是那種文件類型。黑客為了迷惑用戶，將木馬服務(wù)端程序的圖標(biāo)換成一些常見(jiàn)的文件類型的圖標(biāo)，這樣當(dāng)用戶運(yùn)行以后，噩夢(mèng)也就開(kāi)始了。 實(shí)例:黑洞2001服務(wù)端的安裝程序使用了文件夾的圖標(biāo)，當(dāng)你隱藏了已知文件類型的擴(kuò)展名時(shí)，這個(gè)文件看上去就是一個(gè)文件夾，當(dāng)你好奇地點(diǎn)擊它，打算進(jìn)去看看有什么文件的時(shí)候，潘多拉的盒子就打開(kāi)了。  識(shí)別方法 平時(shí)我們?cè)谶\(yùn)行一個(gè)文件的時(shí)候，常常習(xí)慣于利用鼠標(biāo)雙擊運(yùn)行它，這樣Windows系統(tǒng)首先會(huì)判斷文件類型打開(kāi)其關(guān)聯(lián)程序，然后再打開(kāi)這個(gè)文件。這樣運(yùn)行方法就很容易激

3、活修改了圖標(biāo)的木馬程序。其實(shí)，我們只需要換一種方式，就可以避免。比如我們看到一個(gè)文本文件的文件后，并不要雙擊打開(kāi)它，而是首先打開(kāi)記事本程序，然后通過(guò)“文件”菜單中的“打開(kāi)”命令來(lái)打開(kāi)這個(gè)文件，如果顯示出的是亂碼，那么這個(gè)“文本文件”就肯定有問(wèn)題。 安全專家點(diǎn)評(píng):更換圖標(biāo)是最基本的木馬服務(wù)端的偽裝方式，但是只使用這一種方式是遠(yuǎn)遠(yuǎn)不夠的。黑客會(huì)將它和文件更名、文件捆綁等一系列的偽裝方式進(jìn)行組合，這樣才能騙得用戶運(yùn)行。所以不要隨意執(zhí)行別人發(fā)來(lái)的文件，那怕他是你的朋友也要謹(jǐn)慎一些。 畫(huà)皮第二計(jì):改名換姓 偽裝等級(jí): 圖標(biāo)修改往往和文件改名是一起進(jìn)行的，黑客往往將文件的名稱取得非常的誘人，比如“漂亮的妹

4、妹”之類，騙用戶去運(yùn)行它。當(dāng)木馬服務(wù)端程序運(yùn)行以后，服務(wù)端程序也會(huì)將自己的進(jìn)程設(shè)置為和正常的系統(tǒng)進(jìn)程相似的名稱，從而使用戶不容易產(chǎn)生懷疑，被其麻痹。 實(shí)例:如圖所示，這是筆者制作的木馬服務(wù)端安裝程序，它在電腦上顯示為“漂亮的妹妹.bmp”。如果你把它當(dāng)作一個(gè)圖像文件來(lái)打開(kāi)的話，筆者的木馬也就在你的電腦中安營(yíng)扎寨了。 識(shí)別方法 在“文件夾選項(xiàng)”對(duì)話框中選取“隱藏已知文件類型的擴(kuò)展名”選項(xiàng)，具體的操作為:打開(kāi)資源管理器，在菜單欄選擇“工具文件夾選擇”打開(kāi)“文件夾選擇”對(duì)話框，去掉“隱藏已知文件類型的擴(kuò)展名”復(fù)選框中的小鉤即可撕掉這部分木馬的畫(huà)皮。 安全專家點(diǎn)評(píng):這種方式在利用P2P程序進(jìn)行文件傳輸

5、的時(shí)候常常用到，而且通常是和圖標(biāo)偽裝一起使用，讓用戶防不勝防。所以無(wú)論從那里得到的文件，在使用以前都通過(guò)殺毒軟件對(duì)它進(jìn)行一番查殺最好。 畫(huà)皮第三計(jì):文件捆綁 偽裝等級(jí): 文件捆綁就是通過(guò)使用文件捆綁器將木馬服務(wù)端和正常的文件捆綁在一起，達(dá)到欺騙對(duì)方從而運(yùn)行捆綁的木馬程序。捆綁后的文件很有迷惑性，而且加上木馬一般在后臺(tái)運(yùn)行，用戶點(diǎn)擊后不會(huì)出現(xiàn)什么異狀，往往會(huì)在不知不覺(jué)中中招。 畫(huà)皮第四計(jì):出錯(cuò)顯示 偽裝等級(jí): 絕大多數(shù)木馬服務(wù)端安裝時(shí)不會(huì)出現(xiàn)任何圖形界面，因此，如果一個(gè)程序雙擊后沒(méi)有任何反應(yīng)，有經(jīng)驗(yàn)的網(wǎng)民就會(huì)懷疑它是木馬。為了消除這部分人心中的疑慮，黑客會(huì)讓木馬在被運(yùn)行時(shí)彈出一個(gè)錯(cuò)誤提示對(duì)話框。

6、 實(shí)例:如今的木馬程序，很多都有“安裝完畢后顯示提示”的選項(xiàng)，例如木馬HDSPY，用戶在配置服務(wù)端程序后，在“提示內(nèi)容”輸入框中輸入需要的提示內(nèi)容，例如“文件已損壞，無(wú)法打開(kāi)”等。當(dāng)用戶運(yùn)行服務(wù)端程序后，就會(huì)彈出我們?cè)O(shè)置的內(nèi)容。 識(shí)別方法 如果該文件是木馬程序，用戶在看到了出錯(cuò)信息的時(shí)候往往已經(jīng)中招。所以用戶看到錯(cuò)誤信息的時(shí)候要有所警覺(jué)，這個(gè)時(shí)候就要通過(guò)掃描系統(tǒng)端口判斷自己是否中了木馬。 安全專家點(diǎn)評(píng):這種方法雖然在早期可以騙得用戶，但隨著人們安全意識(shí)的提高，往往給人一種“畫(huà)蛇添足”的感覺(jué)。 畫(huà)皮第五計(jì):自我銷毀 偽裝等級(jí): 大多數(shù)木馬本身只有一個(gè)文件，它的安裝程序其實(shí)就是木馬服務(wù)端程序，當(dāng)你

7、雙擊了一個(gè)木馬的安裝程序后，它會(huì)把自己拷貝到系統(tǒng)目錄或其它目錄，因此，一些有經(jīng)驗(yàn)的網(wǎng)民如果懷疑一個(gè)程序是木馬，它會(huì)根據(jù)安裝程序的大小在硬盤上搜索木馬文件。為了對(duì)付這部分網(wǎng)民，一些木馬設(shè)計(jì)了自我銷毀的功能，當(dāng)它把自己拷貝到系統(tǒng)目錄或其它目錄后，它會(huì)把自己刪除，讓你無(wú)據(jù)可查。 識(shí)別方法 對(duì)于這種方法就需要對(duì)系統(tǒng)的注冊(cè)表進(jìn)行即時(shí)監(jiān)測(cè)和使用木馬利用殺毒軟件對(duì)系統(tǒng)以及注冊(cè)表進(jìn)行及時(shí)監(jiān)控。一般木馬會(huì)在系統(tǒng)注冊(cè)表中留下痕跡。這個(gè)時(shí)候我們就可以根據(jù)這些蛛絲馬跡揪出這些木馬。 安全專家點(diǎn)評(píng):利用這種方式進(jìn)行木馬種植的，主要是利用了網(wǎng)頁(yè)木馬和遠(yuǎn)程溢出等方式。因?yàn)楹诳屠镁W(wǎng)頁(yè)木馬或遠(yuǎn)程溢出，都是在用戶不知情的情況下

8、，將木馬植入遠(yuǎn)程系統(tǒng)的。既然遠(yuǎn)程用戶不知情，利用木馬的自我銷毀功能就可以做到“來(lái)無(wú)影去無(wú)蹤”。 畫(huà)皮第六計(jì):網(wǎng)頁(yè)“嫁衣” 偽裝等級(jí): 網(wǎng)頁(yè)木馬是黑客成功利用了系統(tǒng)以及一些程序的漏洞，誘騙用戶瀏覽某個(gè)特殊的網(wǎng)頁(yè)，在用戶瀏覽的時(shí)候，網(wǎng)頁(yè)木馬就會(huì)成功地利用系統(tǒng)的漏洞，從而將設(shè)置的木馬服務(wù)端程序“悄悄地”安裝到遠(yuǎn)程系統(tǒng)中。 實(shí)例:制作網(wǎng)頁(yè)木馬有很多現(xiàn)成的工具，動(dòng)鯊網(wǎng)頁(yè)木馬生成器就是很優(yōu)秀的一款，該木馬生成器利用了微軟的IEHelp ActiveX控件漏洞繞過(guò)本地安全域。 畫(huà)皮第七計(jì):郵件附件 偽裝等級(jí): 通過(guò)電子郵件的附件，進(jìn)行簡(jiǎn)單的文件傳輸，本來(lái)是為了方便用戶?？珊诳驼强粗辛诉@一點(diǎn)，通過(guò)偽造一些著名的企業(yè)或用戶好友的郵件來(lái)欺騙用戶，通過(guò)郵件附件來(lái)傳播木馬服務(wù)端程序。 實(shí)例:黑客在郵件附件中加入木馬后，一般會(huì)使用比較有迷惑性的語(yǔ)句來(lái)騙取用戶的信任。比如 “這是Windows最新的安全補(bǔ)丁程序，請(qǐng)運(yùn)行后重新啟動(dòng)系統(tǒng)?！?識(shí)