以前,我曾認為只要不隨便運行網友發來的文件就不會中病毒或木馬,但后來出現了利用漏洞傳播的沖擊波、震蕩波;以前,我曾認為不上小網站就不會中網頁木馬,但后來包括國內某知名游戲網站在內的多個大網站均在其首頁被黑客掛上了木馬。從此,我知道:安全,從來沒有絕對的。
雖然沒有絕對的安全,但如果能知已知彼,了解木馬的隱藏手段,對于木馬即使不能百戰百勝,也能做到及時發現,使損失最小化。那么,木馬究竟是如何躲在我們的系統中的呢?
最基本的隱藏:不可見窗體+隱藏文件
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺下的一種程序。Windows下常見的程序有兩種:
1.Win32應用程序(Win32 Application),比如QQ、Office等都屬于此行列。
2.Win32控制臺程序(Win32 Console),比如硬盤引導修復程序FixMBR。
其中,Win32應用程序通常會有應用程序界面,比如系統中自帶的“計算器”就有提供各種數字按鈕的應用程序界面。木馬雖然屬于Win32應用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設置為“隱藏”,這就是最基本的隱藏手段,稍有經驗的用戶只需打開“任務管理器”,并且將“文件夾選項”中的“顯示所有文件”勾選即可輕松找出木馬(見圖1),于是便出現了下面要介紹的“進程隱藏”技術。
雖然沒有絕對的安全,但如果能知已知彼,了解木馬的隱藏手段,對于木馬即使不能百戰百勝,也能做到及時發現,使損失最小化。那么,木馬究竟是如何躲在我們的系統中的呢?
最基本的隱藏:不可見窗體+隱藏文件
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺下的一種程序。Windows下常見的程序有兩種:
1.Win32應用程序(Win32 Application),比如QQ、Office等都屬于此行列。
2.Win32控制臺程序(Win32 Console),比如硬盤引導修復程序FixMBR。
其中,Win32應用程序通常會有應用程序界面,比如系統中自帶的“計算器”就有提供各種數字按鈕的應用程序界面。木馬雖然屬于Win32應用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設置為“隱藏”,這就是最基本的隱藏手段,稍有經驗的用戶只需打開“任務管理器”,并且將“文件夾選項”中的“顯示所有文件”勾選即可輕松找出木馬(見圖1),于是便出現了下面要介紹的“進程隱藏”技術。
上一篇:關于木馬病毒的六種啟動方式
下一篇:檢查自己電腦是否中病毒方法順序
