您现在的位置: 首先,介绍一下有关木马的基本概念。木马其实就是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen), 如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。就我们前面所讲的木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
木马之间传递信息主要是通过端口来进行的。许多刚刚接触电脑的朋友不知道这个“端口”为何方神圣,觉得很神秘。其实,端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序。我们这里所说的端口,不是计算机硬件的I/O端口,而是软件形式上的概念。比方说,大家浏览网站时就是通过访问服务器的80端口来实现的;发送电子邮件则是通过25端口,收电子邮件是通过110端口;而大家常用的QQ是通过4000或8000这个端口来进行通信的。
下面我们就来详细了解木马的常用伪装方法。
伪装方法一:给木马服务端程序更名
木马服务端程序的命名有很大的学问。如果不做任何修改,就使用原来的名字,谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果您对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉您这是木马的话,您敢删除么?还有的就是更改一些后缀名,比如把dll改为d11等(注意看是数字“11”而非英文字母“ll”),您不仔细看的话,您会发现么?
伪装方法二:
把自己和其它文件捆绑在一起
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。例如,把木马服务端和某个游戏捆绑成一个文件利用QQ或电子邮件发给别人,运行后他会看到游戏程序正常打开,却不知木马程序已经悄悄在后台运行了,这样作对一般人的迷惑性很大,而且即使他以后重装系统了,如果他的系统中还保存了那个“游戏”的话,就有可能再次中招。
木马程序这样的伪装很常见,用来捆绑的工具也很多,如exe文件捆绑机——ExeBind等,该类程序可以将指定的黑客程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序(黑客程序)也在后台被执行。当您再次上网时,您已经在不知不觉中被控制住了。您说这个文件捆绑专家恐怖不?而且它支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。
伪装方法三:修改图标
木马服务端所用的图标是很有讲究的,木马经常故意伪装成txt、HTML等您可能认为对系统没有多少危害的文件图标,这样很容易诱惑您把它打开。看看,木马是不是很狡猾?著名的木马“聪明基因”就把自己伪装成HTML文件,如果您的系统设置为不显示文件扩展名,那么您就会以为它的服务端是个HTML文件,很容易上当哦!
伪装方法四:冒充图片文件
这是许多黑客常用来骗别人执行木马的方法,就是将木马说成为图像文件,比如说是照片等,应该说这样是最不合逻辑的,但却是最多人中招。
只要入侵者扮成美眉及更改服务端程序的文件名为“类似”图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。那又为什么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe,而木马程序的扩展名基本上又必定是exe,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那么黑客又是用什么方法呢?其实方法很简单,他只要把文件名改变,例如把“sex.exe”更改为“sex.jpg.exe”,那么在传送时,对方只会看见sex.jpg了,而到达对方电脑时,因为Windows默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好您的计算机又是设定为隐藏扩展名的话,那么您看到的只是sex.jpg了,受骗也就在所难免了!
伪装方法五:利用损坏的zip文件
将一个木马和一个损坏的zip包(可自制)捆绑在一起,然后指定捆绑后的文件为zip图标,这样一来,除非别人看了它的后缀,否则点下去将和一般损坏的zip没什么两样,根本不知道其实已经有木马在悄悄运行了。
伪装方法六:把木马伪装成文件夹
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面再套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹木马时,也会收不住鼠标点下去,这样木马就成功运行了。比方说著名的木马黑洞2001的服务端程序用的就
