防黑行動 捆綁軟件制作及防范方法
來源:中國電子政務網 更新時間:2012-04-13
MM中木馬,求助高手

  曉陽是一名普通的公務員,喜歡不時研究點網絡安全技術。今天在忙完手頭的工作后閑得無聊,正準備上網瞧瞧,新來的女同事小章愁眉苦臉的來到他的面前,說她的電腦有問題,讓曉陽幫忙看看。 

  “美女開口,豈敢不從”,曉陽開著玩笑來到小章的電腦前。通過仔細觀察,曉陽發現即使是沒有任何操作,小章的電腦硬盤的指示燈也不停地閃爍,而且桌面的鼠標也在不斷地滑動并進行著文件夾的打開等操作,就像有一個人正在面前操作這臺電腦一樣。通過這一系列的現象,曉陽已經明白小章的電腦程序中木馬了。  

  曉陽知道,對于小章這樣的MM,想入侵她們的電腦,可以說相當容易,但入侵者到底是如何進入的呢?“你的電腦被安裝了一種被稱為‘木馬’的黑客程序,你想想什么時候發現電腦出現問題的?”曉陽對小章說道。“剛剛網上的一個網友說有一個好看的Flash動畫,問我要不要看看,我答應后他就傳給我了。你看就是這個Flash動畫。”小章說著指向電腦桌面上的一個文件。  

  曉陽一眼就看出這個Flash文件的問題,因為這個圖標嚴重失真,并且肯定入侵者是通過文件捆綁這種方式進行木馬傳播的。還好,這是一個目前比較流行的木馬。曉陽升級了MM電腦中殺毒軟件的病毒庫,順利清除了木馬。  

  小貼士:入侵者的入侵方法,最常用的要算是文件捆綁了,就是將惡意程序和其他的一些正常的數據(或文件)捆綁到一起,然后通過各種手段欺騙用戶運行偽裝好的程序進行惡意程序安裝。

  重現捆綁陷阱選擇捆綁工具  

  “那入侵者是怎樣進行捆綁的呢?”小章問道。“我還是給你演示一下吧!” 曉陽說。曉陽知道,要進行文件捆綁的話,要一種木馬捆綁機才行,常見捆綁機包括EXE文件捆綁機、萬能文件捆綁器、GWBinder2002等。可是由于這種捆綁機的捆綁原理已經被廣大用戶所掌握,用戶可以通過多種手段檢測出捆綁的惡意程序。即使小章不能發現,可殺毒軟件卻可以將幾乎所有的捆綁類軟件進行查殺,黑客一定明白這個道理。  

  曉陽在網上看到一款名為永不查殺的捆綁機的小工具,它是由灰鴿子工作室開發的一款不被查殺的多文件捆綁工具(如圖)。
防黑行動 捆綁軟件制作及防范方法

 曉陽知道,在這款捆綁機推出之前,灰鴿子工作室曾經推出過一款名為萬能文件捆綁器的工具,正是由于它采用了傳統的捆綁方式,所以它已經被殺毒軟件所查殺了。而這次全新開發的這款捆綁機,不但在操作界面上完全采用了前一款捆綁機的界面,另外在捆綁方式上完全模擬了微軟的IExpress程序來將多個不同類型的文件進行捆綁。  

  小貼士:IExpress是專用于制作各種 CAB 壓縮與自解壓縮包的工具,由于是Windows自帶的程序,所以制作出來的安裝包具有很好的兼容性。它可以幫助入侵者制造出不被殺毒軟件查殺的自解壓包,而且一般情況下還可偽裝成某個系統軟件的補丁來迷惑人

  制作木馬捆綁文件  

  曉陽運行捆綁機程序,點擊“添加文件”按鈕添加要捆綁的文件,他選擇了一個Flash動畫和一個木馬程序。雖然捆綁程序可以對2個以上的文件進行捆綁,并且支持各種類型的文件格式,這里曉陽還是只選擇了這2個文件。  

  接著曉陽在“安裝首次運行”選項中設置為Flash動畫,而在“當首次結束再運行”選項中設置為木馬程序,再在“窗口運行狀態”中對文件的窗口運行情況進行設置。最后為捆綁文件選擇一個圖標,捆綁機本身已經為用戶準備了大量的候選圖標,由于曉陽捆綁的文件是Flash動畫,于是他選擇了一個Flash動畫的圖標。  

  雖然候選框中已經有一個Flash動畫的圖標可以選擇,但曉陽覺得不太滿意,于是點擊“選擇圖標”按鈕來選擇一個自己覺得滿意的圖標。

  小貼士:永不查殺的捆綁機除了可以支持常見的圖標圖片文件外(*.ICO,*.BMP),還可以從可執行文件(*.EXE)和動態鏈接庫文件(*.DLL)中提取相關的圖標進行使用。  

  經過選擇,曉陽還是從Flash程序中提取了一個圖標進行使用,然后點擊“捆綁文件”按鈕就生成了自己需要的捆綁文件。曉陽立刻啟動殺毒軟件進行查殺,結果真的不會被查殺。“這就是黑客入侵你的電腦的整個過程”,曉陽看著小章說道,只見她的眼睛睜得大大的。  

  為MM支招  

  其實,通過文件捆綁進行惡意文件傳播已經不是什么新方法了,可是入侵者通過不斷的“改進”,使得捆綁的方法層出不窮,所以給防范帶來了不少困難。  

  比如現在很多入侵者通過正規的壓縮程序進行捆綁。其實要檢測文件是否是用壓縮程序制作的自解壓文件非常簡單。在可疑的文件上點擊鼠標右鍵,選擇“屬性”命令,如果在彈出窗口中看到有“壓縮文件”這樣的標簽,并且在標簽的描述中會出現“自解壓格式 XXX 壓縮文件”的內容,這就表示它是一個自解壓的文件。  

  接著通過系統中的壓縮程序,比如用戶的系統安裝了WinRAR的話,直接通過右鍵菜單中的解壓命令進行文件解壓,然后在解壓的文件夾中檢查是否有捆綁的惡意程序。



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios