论文部分内容阅读
摘要:黑客在制作完木马后便对木马进行“免杀”,然后进一步伪装。对付“免杀”,最好的解决方式是及时更新杀毒软件。对付木马的伪装,应根据情况采取针对性的措施。判断计算机是否中了木马,方法主要有:查看开放端口、查看注册表和查看系统配置文件。查清计算机中了木马后,找到木马主程序,强制删除,再用360等工具清除木马残余。
关键词:计算机;捆绑木马;伪装;鉴别;查杀
近年来,各式各样的木马横行网络。木马越来越隐蔽,它们会偷偷潜入你的计算机进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。因此学会如何鉴别与查杀木马是非常必要的。
一、捆绑木马的伪装与鉴别
正所谓“知彼知己,百战不殆”。要想对付木马,首先应了解常见木马的隐藏方式。
一般来说,黑客在制作完木马后的第一件事就是对木马进行“免杀”(单从“免杀”的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术),然后黑客会对木马进一步伪装。
对付“免杀”,最好的解决方式是及时更新杀毒软件。至于对付木马的伪装,则必须根据情况,采取针对性的措施。
通常的伪装方式是将木马“Gost.exe”伪装成图片、视频、文档等非可执行文件。举个例子,假如说黑客想将木马伪装成一张JPG格式的图片“Gost.jpg”。木马常常会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜在后台进行破坏性活动。一般来讲,大多数的“捆绑机”都已成为众杀毒软件的嫌疑对象,不管你捆绑的是不是恶意软件,统统杀掉再说。不过,有一种软件却不在众杀毒软件的黑名单之中,那就是“WinRaR”。例如,黑客利用“WinRaR”的自解压功能将Photo.jpg(任意图片)与恶意软件Gost.exe捆绑成自解压格式压缩文件Gost.exe。在执行自解压格式压缩文件时,计算机正常打开图片Photo.jpg,而木马“Gosr.exe”也运行了起来。对付用“WinRaR”捆绑的木马,最常用的方式是右击该木马单击右键菜单中的“解压到当前文件夹”,然后木马就原形毕露了。
捆绑完之后黑客会对木马进行进一步的伪装,但其后缀仍然还是“.exe”。黑客会先将木马的图标更改成JPG的图标。然后他会将“Gost.exe”重命名为“Gost.jpg.exe”。因为Windows系统的一个小漏洞“隐藏已知文件类型的扩展名”是默认的,所以计算机会隐藏已知的扩展名“.exe”只显示“Gost.jpg”。对付这种伪装的方法很简单:首先打开“我的计算机”,在菜单栏中选取“工具”选项栏打开其中的“文件夹选项”(图1),点击“查看”,在“高级设置”找到“隐藏已知文件类型的扩展名”将前面的“√”去掉,单击“应用”后再单击“确定”就可以了(图2)。
(图1)
(图2) 除了上面的“双重扩展名法”还有一种改变扩展名的方法。使用这种方法的人不多,但这种方法比“双重扩展名法”效果更好。接着上面的例子,将这个捆绑后的木马”Photo.exe”命名为Photogpj.exe后,继续重命名,把光标移动到文件名中txt的前面,右击 — 插入Unicode控制字符 — RLO,插入后回车。这时你就会发现这个木马变成“Photoexe.jpg”了。这个是利用RLO控制字符,将“Photogpj.exe”文件名中的“gpj.exe”更改成从右往左读的顺序,但文件格式依旧是“exe”。按照这个方法可以把“Photogpj.exe”的文件名改成“Photoexe.jpg”。[1]对付这种伪装也不难。右击该文件,单击“删除”你就会发现原本应该是“确实要把文件‘Photoexe.jpg’放入回收站吗?”变成了“确实要把文件‘Photo?吗站收回入放’exe.jpg”(图3)。然后,点击“是”就可以了。
(图3)
二、捆绑木马的查杀方法
如何判断自己的计算机是否中了木马呢?这里有几个方法可以用来查看。
方法一:查看开放端口。作为远程控制软件,木马必须给自己开个端口才能与其主人联系。因此,我们就可以通过查看机器开放的端口,来判断是否有木马存在。选择“开始”—“运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat -an””,其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的计算机。为了让你的系统变为铜墙铁壁,应该封闭这些端口。这些端口主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口如 TCP 2745、3127、6129、7626(冰河木马)、54320(BackOrifice2000)端口,以及远程服务访问端口3389等。
方法二:查看注册表。为了实现随系统启动等功能,木马都会对注册表进行修改。我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,定位到:HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下,分别打开ShellFolders、UserShellFolders、Run、RunOnce和RunServices子键,检查里边是否有可疑内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionExplorer下,分别查看上述5个子键中的内容。如果有你不认识的程序,那很可能木马曾到此一游。[2]
方法三:查看系统配置文件。很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个文件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”這样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell= Explorer.exe”,若是其他程序则也可能是中了木马。
在查清计算机中了木马后,找到木马主程序,强制删除,再用360等工具清除木马残余就可以了。
参考文献:
[1]《教你如何简简单单的制作一个“JPG、TXT”格式的病毒木马》,http://bbs.honker.net/viewthread.php?tid=66896&extra=&page=1. 2011-8-15浏览。
[2]邓平:《基于Windows环境的木马手工查杀通用方法》,载《办公自动化》2010年第10 期,第32-33页。
关键词:计算机;捆绑木马;伪装;鉴别;查杀
近年来,各式各样的木马横行网络。木马越来越隐蔽,它们会偷偷潜入你的计算机进行破坏,并通过修改注册表、捆绑在正常程序上的方式运行,使你难觅其踪迹。因此学会如何鉴别与查杀木马是非常必要的。
一、捆绑木马的伪装与鉴别
正所谓“知彼知己,百战不殆”。要想对付木马,首先应了解常见木马的隐藏方式。
一般来说,黑客在制作完木马后的第一件事就是对木马进行“免杀”(单从“免杀”的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术),然后黑客会对木马进一步伪装。
对付“免杀”,最好的解决方式是及时更新杀毒软件。至于对付木马的伪装,则必须根据情况,采取针对性的措施。
通常的伪装方式是将木马“Gost.exe”伪装成图片、视频、文档等非可执行文件。举个例子,假如说黑客想将木马伪装成一张JPG格式的图片“Gost.jpg”。木马常常会与一些正常的文件捆绑,如与图片文件捆绑,当你浏览图片的时候,木马也会偷偷溜在后台进行破坏性活动。一般来讲,大多数的“捆绑机”都已成为众杀毒软件的嫌疑对象,不管你捆绑的是不是恶意软件,统统杀掉再说。不过,有一种软件却不在众杀毒软件的黑名单之中,那就是“WinRaR”。例如,黑客利用“WinRaR”的自解压功能将Photo.jpg(任意图片)与恶意软件Gost.exe捆绑成自解压格式压缩文件Gost.exe。在执行自解压格式压缩文件时,计算机正常打开图片Photo.jpg,而木马“Gosr.exe”也运行了起来。对付用“WinRaR”捆绑的木马,最常用的方式是右击该木马单击右键菜单中的“解压到当前文件夹”,然后木马就原形毕露了。
捆绑完之后黑客会对木马进行进一步的伪装,但其后缀仍然还是“.exe”。黑客会先将木马的图标更改成JPG的图标。然后他会将“Gost.exe”重命名为“Gost.jpg.exe”。因为Windows系统的一个小漏洞“隐藏已知文件类型的扩展名”是默认的,所以计算机会隐藏已知的扩展名“.exe”只显示“Gost.jpg”。对付这种伪装的方法很简单:首先打开“我的计算机”,在菜单栏中选取“工具”选项栏打开其中的“文件夹选项”(图1),点击“查看”,在“高级设置”找到“隐藏已知文件类型的扩展名”将前面的“√”去掉,单击“应用”后再单击“确定”就可以了(图2)。
(图1)
(图2) 除了上面的“双重扩展名法”还有一种改变扩展名的方法。使用这种方法的人不多,但这种方法比“双重扩展名法”效果更好。接着上面的例子,将这个捆绑后的木马”Photo.exe”命名为Photogpj.exe后,继续重命名,把光标移动到文件名中txt的前面,右击 — 插入Unicode控制字符 — RLO,插入后回车。这时你就会发现这个木马变成“Photoexe.jpg”了。这个是利用RLO控制字符,将“Photogpj.exe”文件名中的“gpj.exe”更改成从右往左读的顺序,但文件格式依旧是“exe”。按照这个方法可以把“Photogpj.exe”的文件名改成“Photoexe.jpg”。[1]对付这种伪装也不难。右击该文件,单击“删除”你就会发现原本应该是“确实要把文件‘Photoexe.jpg’放入回收站吗?”变成了“确实要把文件‘Photo?吗站收回入放’exe.jpg”(图3)。然后,点击“是”就可以了。
(图3)
二、捆绑木马的查杀方法
如何判断自己的计算机是否中了木马呢?这里有几个方法可以用来查看。
方法一:查看开放端口。作为远程控制软件,木马必须给自己开个端口才能与其主人联系。因此,我们就可以通过查看机器开放的端口,来判断是否有木马存在。选择“开始”—“运行”,输入“CMD”后回车,打开命令行编辑界面,在里边输入命令“netstat -an””,其中“ESTABLISHED”表示已经建立连接的端口,“LISTENING”表示打开并等待别人连接的端口。默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的计算机。为了让你的系统变为铜墙铁壁,应该封闭这些端口。这些端口主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口如 TCP 2745、3127、6129、7626(冰河木马)、54320(BackOrifice2000)端口,以及远程服务访问端口3389等。
方法二:查看注册表。为了实现随系统启动等功能,木马都会对注册表进行修改。我们可以通过查看注册表来寻找木马的痕迹,在“运行”中输入“regedit”,回车后打开注册表编辑器,定位到:HKEY_CURRENT_USERSoftwaremicrosoftWindowsCurrentVersionExplorer下,分别打开ShellFolders、UserShellFolders、Run、RunOnce和RunServices子键,检查里边是否有可疑内容。再定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionExplorer下,分别查看上述5个子键中的内容。如果有你不认识的程序,那很可能木马曾到此一游。[2]
方法三:查看系统配置文件。很多木马文件都会修改系统文件,而win.ini和system.ini文件则是被修改最频繁的两个文件。我们需要对其进行定期体检。在“运行”中输入“%systemroot%”,回车后会打开“Windows”文件夹,找到里边的win.ini文件,在里边搜索“windows”字段,如果找到形如“load=file.exe,run=file.exe”這样的语句(file.exe为木马程序名),就要格外小心了,这很可能是木马的主程序。类似的,在system.ini文件中搜索“boot”字段,找到里边的“Shell=ABC.exe”,默认应为“Shell= Explorer.exe”,若是其他程序则也可能是中了木马。
在查清计算机中了木马后,找到木马主程序,强制删除,再用360等工具清除木马残余就可以了。
参考文献:
[1]《教你如何简简单单的制作一个“JPG、TXT”格式的病毒木马》,http://bbs.honker.net/viewthread.php?tid=66896&extra=&page=1. 2011-8-15浏览。
[2]邓平:《基于Windows环境的木马手工查杀通用方法》,载《办公自动化》2010年第10 期,第32-33页。