拒絕黑客入侵拆穿木馬偽裝的七大安全策略

1、拒絕黑客入侵 拆穿木馬偽裝的七大安全策略    木馬程序一般分為客戶端程序和服務端程序兩部分，客戶端程序用于遠程控制計算機。而服務端程序，則隱藏到遠程計算機中，接收并執(zhí)行客戶端程序發(fā)出的命令。所以當黑客通過網(wǎng)絡控制一臺遠程計算機時，第一步就需要將服務端程序植入到遠程計算機。為了能夠讓用戶執(zhí)行木馬程序，黑客常常通過各種方式對它進行偽裝，這種偽裝就是我們說的木馬畫皮。自木馬誕生以來，黑客們?yōu)榱四抉R的隱蔽性，各種偽裝伎倆可謂層出不窮，讓人防不勝防。那么就讓我們一起來練就一雙火眼金睛，拆穿木馬畫皮伎倆，將這些不速之客拒之門外。 畫皮第一計:圖標偽裝 偽

2、裝等級: 在Windows系統(tǒng)中，每種文件類型使用不同的圖標進行表示，用戶通過一種圖標就可以輕易地判斷出這是那種文件類型。黑客為了迷惑用戶，將木馬服務端程序的圖標換成一些常見的文件類型的圖標，這樣當用戶運行以后，噩夢也就開始了。 實例:黑洞2001服務端的安裝程序使用了文件夾的圖標，當你隱藏了已知文件類型的擴展名時，這個文件看上去就是一個文件夾，當你好奇地點擊它，打算進去看看有什么文件的時候，潘多拉的盒子就打開了。  識別方法 平時我們在運行一個文件的時候，常常習慣于利用鼠標雙擊運行它，這樣Windows系統(tǒng)首先會判斷文件類型打開其關聯(lián)程序，然后再打開這個文件。這樣運行方法就很容易激

3、活修改了圖標的木馬程序。其實，我們只需要換一種方式，就可以避免。比如我們看到一個文本文件的文件后，并不要雙擊打開它，而是首先打開記事本程序，然后通過“文件”菜單中的“打開”命令來打開這個文件，如果顯示出的是亂碼，那么這個“文本文件”就肯定有問題。 安全專家點評:更換圖標是最基本的木馬服務端的偽裝方式，但是只使用這一種方式是遠遠不夠的。黑客會將它和文件更名、文件捆綁等一系列的偽裝方式進行組合，這樣才能騙得用戶運行。所以不要隨意執(zhí)行別人發(fā)來的文件，那怕他是你的朋友也要謹慎一些。 畫皮第二計:改名換姓 偽裝等級: 圖標修改往往和文件改名是一起進行的，黑客往往將文件的名稱取得非常的誘人，比如“漂亮的妹

4、妹”之類，騙用戶去運行它。當木馬服務端程序運行以后，服務端程序也會將自己的進程設置為和正常的系統(tǒng)進程相似的名稱，從而使用戶不容易產(chǎn)生懷疑，被其麻痹。 實例:如圖所示，這是筆者制作的木馬服務端安裝程序，它在電腦上顯示為“漂亮的妹妹.bmp”。如果你把它當作一個圖像文件來打開的話，筆者的木馬也就在你的電腦中安營扎寨了。 識別方法 在“文件夾選項”對話框中選取“隱藏已知文件類型的擴展名”選項，具體的操作為:打開資源管理器，在菜單欄選擇“工具文件夾選擇”打開“文件夾選擇”對話框，去掉“隱藏已知文件類型的擴展名”復選框中的小鉤即可撕掉這部分木馬的畫皮。 安全專家點評:這種方式在利用P2P程序進行文件傳輸

5、的時候常常用到，而且通常是和圖標偽裝一起使用，讓用戶防不勝防。所以無論從那里得到的文件，在使用以前都通過殺毒軟件對它進行一番查殺最好。 畫皮第三計:文件捆綁 偽裝等級: 文件捆綁就是通過使用文件捆綁器將木馬服務端和正常的文件捆綁在一起，達到欺騙對方從而運行捆綁的木馬程序。捆綁后的文件很有迷惑性，而且加上木馬一般在后臺運行，用戶點擊后不會出現(xiàn)什么異狀，往往會在不知不覺中中招。 畫皮第四計:出錯顯示 偽裝等級: 絕大多數(shù)木馬服務端安裝時不會出現(xiàn)任何圖形界面，因此，如果一個程序雙擊后沒有任何反應，有經(jīng)驗的網(wǎng)民就會懷疑它是木馬。為了消除這部分人心中的疑慮，黑客會讓木馬在被運行時彈出一個錯誤提示對話框。

6、 實例:如今的木馬程序，很多都有“安裝完畢后顯示提示”的選項，例如木馬HDSPY，用戶在配置服務端程序后，在“提示內(nèi)容”輸入框中輸入需要的提示內(nèi)容，例如“文件已損壞，無法打開”等。當用戶運行服務端程序后，就會彈出我們設置的內(nèi)容。 識別方法 如果該文件是木馬程序，用戶在看到了出錯信息的時候往往已經(jīng)中招。所以用戶看到錯誤信息的時候要有所警覺，這個時候就要通過掃描系統(tǒng)端口判斷自己是否中了木馬。 安全專家點評:這種方法雖然在早期可以騙得用戶，但隨著人們安全意識的提高，往往給人一種“畫蛇添足”的感覺。 畫皮第五計:自我銷毀 偽裝等級: 大多數(shù)木馬本身只有一個文件，它的安裝程序其實就是木馬服務端程序，當你

7、雙擊了一個木馬的安裝程序后，它會把自己拷貝到系統(tǒng)目錄或其它目錄，因此，一些有經(jīng)驗的網(wǎng)民如果懷疑一個程序是木馬，它會根據(jù)安裝程序的大小在硬盤上搜索木馬文件。為了對付這部分網(wǎng)民，一些木馬設計了自我銷毀的功能，當它把自己拷貝到系統(tǒng)目錄或其它目錄后，它會把自己刪除，讓你無據(jù)可查。 識別方法 對于這種方法就需要對系統(tǒng)的注冊表進行即時監(jiān)測和使用木馬利用殺毒軟件對系統(tǒng)以及注冊表進行及時監(jiān)控。一般木馬會在系統(tǒng)注冊表中留下痕跡。這個時候我們就可以根據(jù)這些蛛絲馬跡揪出這些木馬。 安全專家點評:利用這種方式進行木馬種植的，主要是利用了網(wǎng)頁木馬和遠程溢出等方式。因為黑客利用網(wǎng)頁木馬或遠程溢出，都是在用戶不知情的情況下

8、，將木馬植入遠程系統(tǒng)的。既然遠程用戶不知情，利用木馬的自我銷毀功能就可以做到“來無影去無蹤”。 畫皮第六計:網(wǎng)頁“嫁衣” 偽裝等級: 網(wǎng)頁木馬是黑客成功利用了系統(tǒng)以及一些程序的漏洞，誘騙用戶瀏覽某個特殊的網(wǎng)頁，在用戶瀏覽的時候，網(wǎng)頁木馬就會成功地利用系統(tǒng)的漏洞，從而將設置的木馬服務端程序“悄悄地”安裝到遠程系統(tǒng)中。 實例:制作網(wǎng)頁木馬有很多現(xiàn)成的工具，動鯊網(wǎng)頁木馬生成器就是很優(yōu)秀的一款，該木馬生成器利用了微軟的IEHelp ActiveX控件漏洞繞過本地安全域。 畫皮第七計:郵件附件 偽裝等級: 通過電子郵件的附件，進行簡單的文件傳輸，本來是為了方便用戶?？珊诳驼强粗辛诉@一點，通過偽造一些著名的企業(yè)或用戶好友的郵件來欺騙用戶，通過郵件附件來傳播木馬服務端程序。 實例:黑客在郵件附件中加入木馬后，一般會使用比較有迷惑性的語句來騙取用戶的信任。比如 “這是Windows最新的安全補丁程序，請運行后重新啟動系統(tǒng)?！?識