| |
xjshu021
银子 10028
学历 学前
民职 村民
职务 百姓
注册2008-3-7 14:39:13
|
文本文件中木马
发现CPU的使用率非常高,运行程序非常缓慢。打开一个Foobar2000播放器,都要一分多钟的时间。我知道系统一定是遭到了恶意程序的攻击,可能是病毒,也可能是木马等程序。再对系统进程仔细观察,明明没有开IE却发现有一个IE浏览器的进程,我心想,90%以上的可能是系统中了木马。
检查了系统的端口和服务,看来这又是灰鸽子木马在捣鬼,直接从灰鸽子官方网站下载一个灰鸽子服务端清除工具,将系统中的灰鸽子木马扫地出门。
为了预防再出现这样的情况,我要让她搞清楚那个木马程序从何而来。我问张莹:“什么时候开始出现这种情况的?” “今天我从网上下载了一个共享软件,安装后就这样了。”张莹回答道。
我怀疑可能是程序被捆绑了木马程序,于是调出这个共享软件的安装程序进行查看,并没有发现可疑之处,但程序自带的说明文件却引起了我的怀疑。由于张莹的系统设置了隐藏常见类型的文件扩展名,但这个名为“ReadMe.txt”的“文本文件”的扩展名却并没有隐藏。
点击系统的“文件夹选项”,在弹出的窗口将“隐藏已知文件类型的扩展名”前面的钩去掉,显出这个文件的真实扩展名为EXE。我指着这个“文本文件”告诉张莹:“这个文件并不是文本文件,而是一个木马程序,你的系统运行缓慢,就是因为它。”
让“文本文件”现原形
“那个明明是文本文件的图标,怎么会是木马程序呢?”张莹不解地问道。“其实更换图标和更名改姓是入侵者配置木马时最常用的方法。” “那你能不能演示给我看看啊!”张莹问道。我正求之不得,正好在她面前露一手。
“要为木马程序更换图标,有两种方法,一种是在设置木马程序的时候直接进行更换,现在流行的木马程序都有类似的功能;另一种就是木马程序生成后再使用专门的工具进行更换。下面我就用最流行的灰鸽子木马程序来为你进行演示。”我为了让她了解得更清楚,先介绍了现在比较流行的两种更改图标的方法。
我运行灰鸽子2006,点击工具栏中的“配置服务端程序”按钮来配置木马的服务端。“木马程序的其他设置我就不讲了,今天就主要为你讲解如何更换图标。”我说道。在弹出的“服务器图标”窗口选择“服务器图标”标签,选择一个“文本文件”的图标。
另外我再给张莹演示通过EXE图标工具修改EXE文件图标。我告诉张莹:“这款软件支持真彩色,不过EXE文件必须是没有进行过加壳加密处理的才行。”我在EXE图标工具中的“EXE文件”框中选择木马服务端程序,然后点击“选择”按钮选择记事本程序,接着从中提取一个文本文件的图标,点击“修改EXE图标”对服务端程序进行图标修改。
为MM支招
看过前面的内容,相信大家一定感到“入侵者是无孔不入的”,看似安全的文本文件,原来也暗藏了这么多的危险,那我们应该如何防范这种文本陷阱呢?
在“文件夹选项”对话框中选取“隐藏已知文件类型的扩展名”选项,具体操作为:打开“资源管理器”,在菜单栏选择“工具→文件夹选择”打开“文件夹选择”对话框,去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可。对于在文件图标和文件后缀上做手脚的文件,只要提高警惕性,看清楚文件的真实名称再运行,一般是不会中招的。
这里,我再教大家一个小技巧,只要换一种方式打开文本文件,就可以避免中招。比如我们怀疑一个文本文件不正常,那么我们不要双击打开它,只要打开记事本程序,然后通过“文件”菜单中的“打开”命令来打开这个文件,如果显示出的是乱码,那么这个“文本文件”就肯定是有问题的。
|
|
1楼: 2008-6-30 9:42:07
|
|
| |
whqff
银子 5604
学历 学前
民职 村民
职务 百姓
注册2008-2-5 17:10:17
|
一向都不隐藏扩展名的~~~~~~~~~
回复《文本文件中木马》
|
| 2楼:
2008-7-5 13:45:43 |
|
| |
anzuscan
银子 7927
学历 学前
民职 村民
职务 百姓
注册2008-4-15 22:01:37
|
学习,,。。,。。
回复《文本文件中木马》
|
| 3楼:
2008-7-5 16:49:28 |
|
| |
诗情格
银子 10474
股份 876
学历 小学1年级
民职 村民
职务 晋级-班长
注册2007-6-5 20:09:33
上周:发帖0回帖26点评0
|
哦,,这样的,,学习到,,
回复《文本文件中木马》
1团4营3连: 数码家电
|
| 4楼:
2008-7-17 17:14:43 |
|
| |
xiaoer
银子 2638
学历 学前
民职 村民
职务 百姓
注册2008-3-4 9:13:10
|
不明白呀
回复《文本文件中木马》
|
| 5楼:
2008-7-25 15:21:34 |
|
