以前,我曾認(rèn)為只要不隨便運(yùn)行網(wǎng)友發(fā)來的文件就不會(huì)中病毒或木馬,但后來出現(xiàn)了利用漏洞傳播的沖擊波、震蕩波;以前,我曾認(rèn)為不上小網(wǎng)站就不會(huì)中網(wǎng)頁木馬,但后來包括國內(nèi)某知名游戲網(wǎng)站在內(nèi)的多個(gè)大網(wǎng)站均在其首頁被黑客掛上了木馬。從此,我知道:安全,從來沒有絕對(duì)的。
雖然沒有絕對(duì)的安全,但如果能知已知彼,了解木馬的隱藏手段,對(duì)于木馬即使不能百戰(zhàn)百勝,也能做到及時(shí)發(fā)現(xiàn),使損失最小化。那么,木馬究竟是如何躲在我們的系統(tǒng)中的呢?
最基本的隱藏:不可見窗體+隱藏文件
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺(tái)下的一種程序。Windows下常見的程序有兩種:
1.Win32應(yīng)用程序(Win32 Application),比如QQ、Office等都屬于此行列。
2.Win32控制臺(tái)程序(Win32 Console),比如硬盤引導(dǎo)修復(fù)程序FixMBR。
其中,Win32應(yīng)用程序通常會(huì)有應(yīng)用程序界面,比如系統(tǒng)中自帶的“計(jì)算器”就有提供各種數(shù)字按鈕的應(yīng)用程序界面。木馬雖然屬于Win32應(yīng)用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設(shè)置為“隱藏”,這就是最基本的隱藏手段,稍有經(jīng)驗(yàn)的用戶只需打開“任務(wù)管理器”,并且將“文件夾選項(xiàng)”中的“顯示所有文件”勾選即可輕松找出木馬(見圖1),于是便出現(xiàn)了下面要介紹的“進(jìn)程隱藏”技術(shù)。
雖然沒有絕對(duì)的安全,但如果能知已知彼,了解木馬的隱藏手段,對(duì)于木馬即使不能百戰(zhàn)百勝,也能做到及時(shí)發(fā)現(xiàn),使損失最小化。那么,木馬究竟是如何躲在我們的系統(tǒng)中的呢?
最基本的隱藏:不可見窗體+隱藏文件
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺(tái)下的一種程序。Windows下常見的程序有兩種:
1.Win32應(yīng)用程序(Win32 Application),比如QQ、Office等都屬于此行列。
2.Win32控制臺(tái)程序(Win32 Console),比如硬盤引導(dǎo)修復(fù)程序FixMBR。
其中,Win32應(yīng)用程序通常會(huì)有應(yīng)用程序界面,比如系統(tǒng)中自帶的“計(jì)算器”就有提供各種數(shù)字按鈕的應(yīng)用程序界面。木馬雖然屬于Win32應(yīng)用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設(shè)置為“隱藏”,這就是最基本的隱藏手段,稍有經(jīng)驗(yàn)的用戶只需打開“任務(wù)管理器”,并且將“文件夾選項(xiàng)”中的“顯示所有文件”勾選即可輕松找出木馬(見圖1),于是便出現(xiàn)了下面要介紹的“進(jìn)程隱藏”技術(shù)。
