以前,我曾認為只要不隨便運行網(wǎng)友發(fā)來的文件就不會中病毒或木馬,但后來出現(xiàn)了利用漏洞傳播的沖擊波、震蕩波;以前,我曾認為不上小網(wǎng)站就不會中網(wǎng)頁木馬,但后來包括國內(nèi)某知名游戲網(wǎng)站在內(nèi)的多個大網(wǎng)站均在其首頁被黑客掛上了木馬。從此,我知道:安全,從來沒有絕對的。
雖然沒有絕對的安全,但如果能知已知彼,了解木馬的隱藏手段,對于木馬即使不能百戰(zhàn)百勝,也能做到及時發(fā)現(xiàn),使損失最小化。那么,木馬究竟是如何躲在我們的系統(tǒng)中的呢?
最基本的隱藏:不可見窗體+隱藏文件
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺下的一種程序。Windows下常見的程序有兩種:
1.Win32應用程序(Win32 Application),比如QQ、Office等都屬于此行列。
2.Win32控制臺程序(Win32 Console),比如硬盤引導修復程序FixMBR。
其中,Win32應用程序通常會有應用程序界面,比如系統(tǒng)中自帶的“計算器”就有提供各種數(shù)字按鈕的應用程序界面。木馬雖然屬于Win32應用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設置為“隱藏”,這就是最基本的隱藏手段,稍有經(jīng)驗的用戶只需打開“任務管理器”,并且將“文件夾選項”中的“顯示所有文件”勾選即可輕松找出木馬(見圖1),于是便出現(xiàn)了下面要介紹的“進程隱藏”技術。
雖然沒有絕對的安全,但如果能知已知彼,了解木馬的隱藏手段,對于木馬即使不能百戰(zhàn)百勝,也能做到及時發(fā)現(xiàn),使損失最小化。那么,木馬究竟是如何躲在我們的系統(tǒng)中的呢?
最基本的隱藏:不可見窗體+隱藏文件
木馬程序無論如何神秘,但歸根究底,仍是Win32平臺下的一種程序。Windows下常見的程序有兩種:
1.Win32應用程序(Win32 Application),比如QQ、Office等都屬于此行列。
2.Win32控制臺程序(Win32 Console),比如硬盤引導修復程序FixMBR。
其中,Win32應用程序通常會有應用程序界面,比如系統(tǒng)中自帶的“計算器”就有提供各種數(shù)字按鈕的應用程序界面。木馬雖然屬于Win32應用程序,但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況,如木馬使用者與被害者聊天的窗口),并且將木馬文件屬性設置為“隱藏”,這就是最基本的隱藏手段,稍有經(jīng)驗的用戶只需打開“任務管理器”,并且將“文件夾選項”中的“顯示所有文件”勾選即可輕松找出木馬(見圖1),于是便出現(xiàn)了下面要介紹的“進程隱藏”技術。
上一篇:關于木馬病毒的六種啟動方式
下一篇:檢查自己電腦是否中病毒方法順序
