WIN技巧：拒绝不速之客!拆穿木马伪装五计 -电脑资料

     木马程序一般分为客户端程序和服务端程序两部分，客户端程序用于远程控制计算 机，

WIN技巧：拒绝不速之客!拆穿木马伪装五计

。而服务端程序，则隐藏到远程计算机中，接收并执行客户端程序发出的命令。所以当 通过网络控制一台远程计算机时，第一步就需要将服务端程序植入到远程计算机。

　　为了能够让用户执行木马程序， 常常通过各种方式对它进行伪装，这种伪装就是我们说的木马画皮。自木马诞生以来， 们为了木马的隐蔽性，各种伪装伎俩可谓层出不穷，让人防不胜防。那么就让我们一起来练就一双火眼金睛，拆穿木马画皮伎俩，将这些不速之客拒之门外。

　　画皮第一计:图标伪装

　　伪装等级:★★★★

　　在Windows系统中，每种文件类型使用不同的图标进行表示，用户通过一种图标就可以轻易地判断出这是那种文件类型。 为了迷惑用户，将木马服务端程序的图标换成一些常见的文件类型的图标，这样当用户运行以后，噩梦也就开始了。

　　实例:黑洞2001服务端的安装程序使用了文件夹的图标(图1)，当你隐藏了已知文件类型的扩展名时，这个文件看上去就是一个文件夹，当你好奇地点击它，打算进去看看有什么文件的时候，潘多拉的盒子就打开了。

图1

　　识别方法

　　平时我们在运行一个文件的时候，常常习惯于利用鼠标双击运行它，这样Windows系统首先会判断文件类型打开其关联程序，然后再打开这个文件。这样运行方法就很容易激活修改了图标的木马程序。其实，我们只需要换一种方式，就可以避免。比如我们看到一个文本文件的文件后，并不要双击打开它，而是首先打开记事本程序，然后通过“文件”菜单
中的“打开”命令来打开这个文件，如果显示出的是乱码，那么这个“文本文件”就肯定有问题。

安全专家点评:更换图标是最基本的木马服务端的伪装方式，但是只使用这一种方式是远远不够的。 会将它和文件更名、文件捆绑等一系列的伪装方式进行组合，这样才能骗得用户运行。所以不要随意执行别人发来的文件，那怕他是你的朋友也要谨慎一些。

　　画皮第二计:改名换姓

　　伪装等级:★★★

　　图标修改往往和文件改名是一起进行的， 往往将文件的名称取得非常的诱人，比如“漂亮的妹妹”之类，骗用户去运行它。当木马服务端程序运行以后，服务端程序也会将自己的进程设置为和正常的系统进程相似的名称，从而使用户不容易产生怀疑，被其麻痹。

　　实例:如图2所示，这是笔者制作的木马服务端安装程序，它在电脑上显示为“漂亮的妹妹.bmp”。如果你把它当作一个图像文件来打开的话，笔者的木马也就在你的电脑中安营扎寨了，

电脑资料

《WIN技巧：拒绝不速之客!拆穿木马伪装五计》(https://www.unjs.com)。

图2

　　识别方法

　

　　 如果该文件是木马程序，用户在看到了出错信息的时候往往已经中招。所以用户看到错误信息的时候要有所警觉，这个时候就要通过扫描系统端口判断自己是否中了木马。比如可以采用X-Scan对自己的系统进行扫描。如果发现可疑端口就要进行相应的查杀。　

　　安全专家点评:这种方法虽然在早期可以骗得用户，但随着人们安全意识的提高，往往给人一种“画蛇添足”的感觉。　

　　画皮第三计:自我销毁　

　　伪装等级:★★★　　　

　　大多数木马本身只有一个文件，它的安装程序其实就是木马服务端程序，当你双击了一个木马的安装程序后，它会把自己拷贝到系统目录或其它目录，因此，一些有经验的网民如果怀疑一个程序是木马，它会根据安装程序的大小在硬盘上搜索木马文件。为了对付这部分网民，一些木马设计了自我销毁的功能，当它把自己拷贝到系统目录或其它目录后，它会把自己删除，让你无据可查。　

　　识别方法　

　　对于这种方法就需要对系统的注册表进行即时监测和使用木马利用杀毒软件对系统以及注册表进行及时监控。一般木马会在系统注册表中留下痕迹。这个时候我们就可以根据这些蛛丝马迹揪出这些木马。　

　　安全专家点评:利用这种方式进行木马种植的，主要是利用了网页木马和远程溢出等方式。因为 利用网页木马或远程溢出，都是在用户不知情的情况下，将木马植入远程系统的。既然远程用户不知情，利用木马的自我销毁功能就可以做到“来无影去无踪”。　

　　画皮第四计:网页“嫁衣”　

　　伪装等级:★★★★　

　　网页木马是 成功利用了系统以及一些程序的漏洞，诱骗用户浏览某个特殊的网页，在用户浏览的时候，网页木马就会成功地利用系统的漏洞，从而将设置的木马服务端程序“悄悄地”安装到远程系统中。　

　　实例:制作网页木马有很多现成的工具，动鲨网页木马生成器就是很优秀的一款，该木马生成器利用了微软的IEHelp

ActiveX控件漏洞绕过本地安全域。　

　　画皮第五计:邮件附件　

　　伪装等级:★★　

　　通过电子邮件的附件，进行简单的文件传输，本来是为了方便用户。可 正是看中了这一点，通过伪造一些著名的企业或用户好友的邮件来欺骗用户，通过邮件附件来传播木马服务端程序。　

　　 实例: 在邮件附件中加入木马后，一般会使用比较有迷惑性的语句来骗取用户的信任。比如“这是Windows最新的安全补丁程序，请运行后重新启动系统。”　

　　识别方法　

　　 不要立即运行邮件附件，而是将它“另存为”到一个文件夹，然后对文件夹进行查杀检测，发现问题立即删除。

　

　　 安全专家点评:利用电子邮件的附件，是最常见的木马和病毒的传播方法。一般没有经验的用户会上当中招。但是因为很多邮件系统自带杀毒系统，所以现在已经不是很流行了。