安全上网：看清木马的“三十六计”

楼主^#

更多发布于：2011-12-06 14:12

[] 1


	过去的2008年，木马已经成为网络中的最大危害，不仅数量庞大，花样极多，还借鉴了“三十六计”的军事思想，想方设法地隐蔽自己，以便对网银、网游、qq等具有经济价值的账户实施偷盗。作为一种电脑程序，木马也需要运行起来才能作恶，很多用户因此借助“任务管理器”判断是否存在木马，但真要把披上“迷彩服”的木马进程找到并不容易，下面介绍木马的三种常用藏身伎俩，帮助非专业用户及时识破真相。第一是瞒天过海：系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，但如果把字母“l”改成数字“1”，把“i”改成“j”，又或者增减一两个字母，比如iexplorer.exe，利用山寨版的进程名大打障眼法，不加留意的话，一般人恐怕都会被蒙骗过去。第二是偷梁换柱：比如一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是一定安全呢？其实不然，它很可能便是某种盗号木马，不过是将自己命名为svchost.exe，并且把自身复制到不同于真正的svchost.exe文件所在目录中，而“任务管理器”中所体现的进程名却是一般无异。第三是借尸还魂：除了上文中的两种方法外，木马还有一招——借尸还魂。所谓的借尸还魂就是采用了进程插入技术，将木马运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被恶意控制了，除非借助专业的进程检测工具，否则要想发现隐藏在其中的木马是很困难的。对电脑用户来说，如果发现电脑运行缓慢、不断弹出网页等异常现象，必须尽快检查是否已有木马偷偷潜入了电脑中。为了应对木马所使用的上述伎俩，可以仔细检查进程的文件名和路径，通过这两点，一般的木马进程都会露出马脚。此外，利用一些专业工具能方便我们更容易判断进程的“好坏”，比如360安全卫士可以标明所有进程的安全级别，还能够显示每一项进程对应的安装路径和出品公司等详细信息，木马的进程就难以藏匿了。