返回列表 回復 發帖

文本檔中木馬

 今天一到辦公室,隔壁辦公室的張瑩MM就來找我。“你有什麼事嗎?”我問道。張瑩說:“我的電腦不知道怎麼回事,他們都說你會修電腦,能不能幫我看看啊。”本來我們還不是很熟,不過現在她有求於自己,當然我還是很樂意地答應了她。www.sq120.com推薦文章

  我坐到張瑩的電腦前,立刻調出系統的任務管理器查看,發現CPU的使用率非常高,運行程式非常緩慢。打開一個Foobar2000播放器,都要一分多鐘的時間。我知道系統一定是遭到了惡意程式的攻擊,可能是病毒,也可能是木馬等程式。再對系統進程仔細觀察,明明沒有開IE卻發現有一個IE流覽器的進程,我心想,90%以上的可能是系統中了木馬。
  檢查了系統的端口和服務,看來這又是灰鴿子木馬在搗鬼,直接從灰鴿子官方網站下載一個灰鴿子服務端清除工具,將系統中的灰鴿子木馬掃地出門。
  為了預防再出現這樣的情況,我要讓她搞清楚那個木馬程式從何而來。我問張瑩:“什麼時候開始出現這種情況的?” “今天我從網上下載了一個共用軟體,安裝後就這樣了。”張瑩回答道。
  我懷疑可能是程式被捆綁了木馬程式,於是調出這個共用軟體的安裝程式進行查看,並沒有發現可疑之處,但程式自帶的說明文件卻引起了我的懷疑。由於張瑩的系統設置了隱藏常見類型的檔擴展名,但這個名為“ReadMe.txt”的“文本檔”的擴展名卻並沒有隱藏。
  點擊系統的“檔夾選項”,在彈出的窗口將“隱藏已知檔類型的擴展名”前面的鉤去掉,顯出這個檔的真實擴展名為EXE。我指著這個“文本檔”告訴張瑩:“這個檔並不是文本檔,而是一個木馬程式,你的系統運行緩慢,就是因為它。”
讓“文本檔”現原形
  “那個明明是文本檔的圖示,怎麼會是木馬程式呢?”張瑩不解地問道。“其實更換圖示和更名改姓是入侵者配置木馬時最常用的方法。” “那你能不能演示給我看看啊!”張瑩問道。我正求之不得,正好在她面前露一手。
  “要為木馬程式更換圖示,有兩種方法,一種是在設置木馬程式的時候直接進行更換,現在流行的木馬程式都有類似的功能;另一種就是木馬程式生成後再使用專門的工具進行更換。下麵我就用最流行的灰鴿子木馬程式來為你進行演示。”我為了讓她瞭解得更清楚,先介紹了現在比較流行的兩種更改圖示的方法。
  我運行灰鴿子2006,點擊工具欄中的“配置服務端程式”按鈕來配置木馬的服務端。“木馬程式的其他設置我就不講了,今天就主要為你講解如何更換圖示。”我說道。在彈出的“伺服器圖示”窗口選擇“伺服器圖示”標籤,選擇一個“文本檔”的圖示。
  另外我再給張瑩演示通過EXE圖示工具修改EXE檔圖示。我告訴張瑩:“這款軟體支持真彩色,不過EXE檔必須是沒有進行過加殼加密處理的才行。”我在EXE圖示工具中的“EXE檔”框中選擇木馬服務端程式,然後點擊“選擇”按鈕選擇記事本程式,接著從中提取一個文本檔的圖示,點擊“修改EXE圖示”對服務端程式進行圖示修改。 
為MM支招
  看過前面的內容,相信大家一定感到“入侵者是無孔不入的”,看似安全的文本檔,原來也暗藏了這麼多的危險,那我們應該如何防範這種文本陷阱呢?
  在“檔夾選項”對話框中選取“隱藏已知檔類型的擴展名”選項,具體操作為:打開“資源管理器”,在菜單欄選擇“工具→檔夾選擇”打開“檔夾選擇”對話框,去掉“隱藏已知檔類型的擴展名”複選框中的小鉤即可。對於在檔圖示和文件尾碼上做手腳的檔,只要提高警惕性,看清楚檔的真實名稱再運行,一般是不會中招的。
  這裏,我再教大家一個小技巧,只要換一種方式打開文本檔,就可以避免中招。比如我們懷疑一個文本檔不正常,那麼我們不要雙擊打開它,只要打開記事本程式,然後通過“檔”菜單中的“打開”命令來打開這個檔,如果顯示出的是亂碼,那麼這個“文本檔”就肯定是有問題的。
返回列表