通用四招对付捆绑木马
现在的牧“马”者是越来越狡猾,他们常用文件捆绑的方法,将木马捆绑到图像、纯文本等常见的文件中,然后通过 QQ 、 Email 或 MSN 等将这些文件传送给受害者,而一旦不慎打开这些文件,你就“中招”了(当然是木马了)。那对付这些捆绑木马有哪些通用规则值得我们平时注意的?第一招:常用杀毒软件 这是最安全、最经典的防御方法了,特别是对通过 QQ 、 MSN 等即时通讯工具传送过来的文件,在打开他们之前一定要用杀毒软件查毒。对于一些常见的木马,只要升级到最新 病毒库 ,一般均可以 查杀 。如笔者的 Norton 2002 就对 mill.bmp 这个文件给出染毒提示,如图 1 所示。
[img]http://www.diannao100.com/dmt/yshpxiufu/2003362_clip_image001.jpg[/img]
图 1
在 MSN Messenger 中,选择“工具→选项”,再单击“消息”标签,在“文件传输”下,选中“使用下列程序进行 病毒扫描 ”复选框,然后选择相应的杀毒程序,可以让 MSN 对传输的文件自动杀毒(如图 2 )。
[img]http://www.diannao100.com/dmt/yshpxiufu/2003362_clip_image002.jpg[/img]
图 2
第二招:显示文件全名
其实很多牧“马”者是利用 Windows 默认的“隐藏已知类型文件扩展名”,比如把木马文件改名为 a.jpg 的形式,同时文件图标又用常见图像图标来增强迷惑性,如图 3 所示,这里 a.jpg 实际上是 a.jpg.exe 这个可执行程序。牧“马”者将木马捆绑到一幅 JPG 图片中,当你双击打开这个文件时,的确实是一幅 JPG 图片,而木马却在后台偷偷的运行了。解决方法:打开“我的电脑”,单击“工具→文件夹选项”,单击“查看”,去除“隐藏已知类型文件扩展名”前的小钩(如图 4 )。这样如果碰到类似 a.jpg.exe 的文件就可以看到它的真面目,并格外小心了。
[img]http://www.diannao100.com/dmt/yshpxiufu/2003362_clip_image003.jpg[/img]
图 3
[img]http://www.diannao100.com/dmt/yshpxiufu/2003362_clip_image004.jpg[/img]
图 4
第三招:善用进程监视
如上所述,被捆绑木马是当我们打开一个文件的时候,它就在后台运行,比如说在打开一个图像文件的时候,除了看图程序外还应该有一个进程在运行。这样我们在打开这类文件时,先用 Ctrl+Alt+Del 调出系统当前的进程列表并记下,打开文件后迅速切换到任务管理器窗口查看,多出的那个进程就是被释放出来的木马了。
小提示
有些木马程序非常的小巧,它的安装过程也是一晃而过,所以切换到任务管理器速度也要快。也可让任务管理器常驻内存,请参考本期系统一句话技巧中的《隐藏运行任务管理器》。
第四招:专业工具协助 Fearless Bound File Detector 就是一款专门用于探测是否捆绑文件的软件,运行程序后,将需要检测的文件拖到窗口中,然后单击“扫描文件”按钮即可。如果正常,程序提示“没发现任何东西,文件显然清洁的”,如果是捆绑文件,程序则给出“发现 4E007h 额外的字节,开始补偿于 C600h ”的提示,如图 5 所示。
[img]http://www.diannao100.com/dmt/yshpxiufu/2003362_clip_image005.jpg[/img]
图 5
小提示 如果用它清洁被捆绑文件,剩下的只是捆绑的头文件了,而且大小均为 57.5KB ,会破坏原来的文件,所以如果觉得被捆绑文件对你有用,切勿采取清洁文件的方法,但可以用程序来检测是否捆绑其他文件
页:
[1]