拒絕黑客入侵拆穿木馬偽裝的七大安全策略

1、拒絕黑客入侵 拆穿木馬偽裝的七大安全策略    木馬程序一般分為客戶端程序和服務(wù)端程序兩部分，客戶端程序用于遠(yuǎn)程控制計(jì)算機(jī)。而服務(wù)端程序，則隱藏到遠(yuǎn)程計(jì)算機(jī)中，接收并執(zhí)行客戶端程序發(fā)出的命令。所以當(dāng)黑客通過網(wǎng)絡(luò)控制一臺(tái)遠(yuǎn)程計(jì)算機(jī)時(shí)，第一步就需要將服務(wù)端程序植入到遠(yuǎn)程計(jì)算機(jī)。為了能夠讓用戶執(zhí)行木馬程序，黑客常常通過各種方式對(duì)它進(jìn)行偽裝，這種偽裝就是我們說的木馬畫皮。自木馬誕生以來，黑客們?yōu)榱四抉R的隱蔽性，各種偽裝伎倆可謂層出不窮，讓人防不勝防。那么就讓我們一起來練就一雙火眼金睛，拆穿木馬畫皮伎倆，將這些不速之客拒之門外。 畫皮第一計(jì):圖標(biāo)偽裝 偽

2、裝等級(jí): 在Windows系統(tǒng)中，每種文件類型使用不同的圖標(biāo)進(jìn)行表示，用戶通過一種圖標(biāo)就可以輕易地判斷出這是那種文件類型。黑客為了迷惑用戶，將木馬服務(wù)端程序的圖標(biāo)換成一些常見的文件類型的圖標(biāo)，這樣當(dāng)用戶運(yùn)行以后，噩夢也就開始了。 實(shí)例:黑洞2001服務(wù)端的安裝程序使用了文件夾的圖標(biāo)，當(dāng)你隱藏了已知文件類型的擴(kuò)展名時(shí)，這個(gè)文件看上去就是一個(gè)文件夾，當(dāng)你好奇地點(diǎn)擊它，打算進(jìn)去看看有什么文件的時(shí)候，潘多拉的盒子就打開了。  識(shí)別方法 平時(shí)我們在運(yùn)行一個(gè)文件的時(shí)候，常常習(xí)慣于利用鼠標(biāo)雙擊運(yùn)行它，這樣Windows系統(tǒng)首先會(huì)判斷文件類型打開其關(guān)聯(lián)程序，然后再打開這個(gè)文件。這樣運(yùn)行方法就很容易激

3、活修改了圖標(biāo)的木馬程序。其實(shí)，我們只需要換一種方式，就可以避免。比如我們看到一個(gè)文本文件的文件后，并不要雙擊打開它，而是首先打開記事本程序，然后通過“文件”菜單中的“打開”命令來打開這個(gè)文件，如果顯示出的是亂碼，那么這個(gè)“文本文件”就肯定有問題。 安全專家點(diǎn)評(píng):更換圖標(biāo)是最基本的木馬服務(wù)端的偽裝方式，但是只使用這一種方式是遠(yuǎn)遠(yuǎn)不夠的。黑客會(huì)將它和文件更名、文件捆綁等一系列的偽裝方式進(jìn)行組合，這樣才能騙得用戶運(yùn)行。所以不要隨意執(zhí)行別人發(fā)來的文件，那怕他是你的朋友也要謹(jǐn)慎一些。 畫皮第二計(jì):改名換姓 偽裝等級(jí): 圖標(biāo)修改往往和文件改名是一起進(jìn)行的，黑客往往將文件的名稱取得非常的誘人，比如“漂亮的妹

4、妹”之類，騙用戶去運(yùn)行它。當(dāng)木馬服務(wù)端程序運(yùn)行以后，服務(wù)端程序也會(huì)將自己的進(jìn)程設(shè)置為和正常的系統(tǒng)進(jìn)程相似的名稱，從而使用戶不容易產(chǎn)生懷疑，被其麻痹。 實(shí)例:如圖所示，這是筆者制作的木馬服務(wù)端安裝程序，它在電腦上顯示為“漂亮的妹妹.bmp”。如果你把它當(dāng)作一個(gè)圖像文件來打開的話，筆者的木馬也就在你的電腦中安營扎寨了。 識(shí)別方法 在“文件夾選項(xiàng)”對(duì)話框中選取“隱藏已知文件類型的擴(kuò)展名”選項(xiàng)，具體的操作為:打開資源管理器，在菜單欄選擇“工具文件夾選擇”打開“文件夾選擇”對(duì)話框，去掉“隱藏已知文件類型的擴(kuò)展名”復(fù)選框中的小鉤即可撕掉這部分木馬的畫皮。 安全專家點(diǎn)評(píng):這種方式在利用P2P程序進(jìn)行文件傳輸

5、的時(shí)候常常用到，而且通常是和圖標(biāo)偽裝一起使用，讓用戶防不勝防。所以無論從那里得到的文件，在使用以前都通過殺毒軟件對(duì)它進(jìn)行一番查殺最好。 畫皮第三計(jì):文件捆綁 偽裝等級(jí): 文件捆綁就是通過使用文件捆綁器將木馬服務(wù)端和正常的文件捆綁在一起，達(dá)到欺騙對(duì)方從而運(yùn)行捆綁的木馬程序。捆綁后的文件很有迷惑性，而且加上木馬一般在后臺(tái)運(yùn)行，用戶點(diǎn)擊后不會(huì)出現(xiàn)什么異狀，往往會(huì)在不知不覺中中招。 畫皮第四計(jì):出錯(cuò)顯示 偽裝等級(jí): 絕大多數(shù)木馬服務(wù)端安裝時(shí)不會(huì)出現(xiàn)任何圖形界面，因此，如果一個(gè)程序雙擊后沒有任何反應(yīng)，有經(jīng)驗(yàn)的網(wǎng)民就會(huì)懷疑它是木馬。為了消除這部分人心中的疑慮，黑客會(huì)讓木馬在被運(yùn)行時(shí)彈出一個(gè)錯(cuò)誤提示對(duì)話框。

6、 實(shí)例:如今的木馬程序，很多都有“安裝完畢后顯示提示”的選項(xiàng)，例如木馬HDSPY，用戶在配置服務(wù)端程序后，在“提示內(nèi)容”輸入框中輸入需要的提示內(nèi)容，例如“文件已損壞，無法打開”等。當(dāng)用戶運(yùn)行服務(wù)端程序后，就會(huì)彈出我們設(shè)置的內(nèi)容。 識(shí)別方法 如果該文件是木馬程序，用戶在看到了出錯(cuò)信息的時(shí)候往往已經(jīng)中招。所以用戶看到錯(cuò)誤信息的時(shí)候要有所警覺，這個(gè)時(shí)候就要通過掃描系統(tǒng)端口判斷自己是否中了木馬。 安全專家點(diǎn)評(píng):這種方法雖然在早期可以騙得用戶，但隨著人們安全意識(shí)的提高，往往給人一種“畫蛇添足”的感覺。 畫皮第五計(jì):自我銷毀 偽裝等級(jí): 大多數(shù)木馬本身只有一個(gè)文件，它的安裝程序其實(shí)就是木馬服務(wù)端程序，當(dāng)你

7、雙擊了一個(gè)木馬的安裝程序后，它會(huì)把自己拷貝到系統(tǒng)目錄或其它目錄，因此，一些有經(jīng)驗(yàn)的網(wǎng)民如果懷疑一個(gè)程序是木馬，它會(huì)根據(jù)安裝程序的大小在硬盤上搜索木馬文件。為了對(duì)付這部分網(wǎng)民，一些木馬設(shè)計(jì)了自我銷毀的功能，當(dāng)它把自己拷貝到系統(tǒng)目錄或其它目錄后，它會(huì)把自己刪除，讓你無據(jù)可查。 識(shí)別方法 對(duì)于這種方法就需要對(duì)系統(tǒng)的注冊表進(jìn)行即時(shí)監(jiān)測和使用木馬利用殺毒軟件對(duì)系統(tǒng)以及注冊表進(jìn)行及時(shí)監(jiān)控。一般木馬會(huì)在系統(tǒng)注冊表中留下痕跡。這個(gè)時(shí)候我們就可以根據(jù)這些蛛絲馬跡揪出這些木馬。 安全專家點(diǎn)評(píng):利用這種方式進(jìn)行木馬種植的，主要是利用了網(wǎng)頁木馬和遠(yuǎn)程溢出等方式。因?yàn)楹诳屠镁W(wǎng)頁木馬或遠(yuǎn)程溢出，都是在用戶不知情的情況下

8、，將木馬植入遠(yuǎn)程系統(tǒng)的。既然遠(yuǎn)程用戶不知情，利用木馬的自我銷毀功能就可以做到“來無影去無蹤”。 畫皮第六計(jì):網(wǎng)頁“嫁衣” 偽裝等級(jí): 網(wǎng)頁木馬是黑客成功利用了系統(tǒng)以及一些程序的漏洞，誘騙用戶瀏覽某個(gè)特殊的網(wǎng)頁，在用戶瀏覽的時(shí)候，網(wǎng)頁木馬就會(huì)成功地利用系統(tǒng)的漏洞，從而將設(shè)置的木馬服務(wù)端程序“悄悄地”安裝到遠(yuǎn)程系統(tǒng)中。 實(shí)例:制作網(wǎng)頁木馬有很多現(xiàn)成的工具，動(dòng)鯊網(wǎng)頁木馬生成器就是很優(yōu)秀的一款，該木馬生成器利用了微軟的IEHelp ActiveX控件漏洞繞過本地安全域。 畫皮第七計(jì):郵件附件 偽裝等級(jí): 通過電子郵件的附件，進(jìn)行簡單的文件傳輸，本來是為了方便用戶?？珊诳驼强粗辛诉@一點(diǎn)，通過偽造一些著名的企業(yè)或用戶好友的郵件來欺騙用戶，通過郵件附件來傳播木馬服務(wù)端程序。 實(shí)例:黑客在郵件附件中加入木馬后，一般會(huì)使用比較有迷惑性的語句來騙取用戶的信任。比如 “這是Windows最新的安全補(bǔ)丁程序，請(qǐng)運(yùn)行后重新啟動(dòng)系統(tǒng)?！?識(shí)