拒绝不速之客入侵 拆穿木马伪装七计

木马程序一般分为客户端程序和服务端程序两部分，客户端程序用于远程控制计算机。而服务端程序，则隐藏到远程计算机中，接收并执行客户端程序发出的命令。所以当黑客通过网络控制一台远程计算机时，第一步就需要将服务端程序植入到远程计算机。

为了能够让用户执行木马程序，黑客常常通过各种方式对它进行伪装，这种伪装就是我们说的木马画皮。自木马诞生以来，黑客们为了木马的隐蔽性，各种伪装伎俩可谓层出不穷，让人防不胜防。那么就让我们一起来练就一双火眼金睛，拆穿木马画皮伎俩，将这些不速之客拒之门外。

画皮第一计:图标伪装

伪装等级:★★★★

在Windows系统中，每种文件类型使用不同的图标进行表示，用户通过一种图标就可以轻易地判断出这是那种文件类型。黑客为了迷惑用户，将木马服务端程序的图标换成一些常见的文件类型的图标，这样当用户运行以后，噩梦也就开始了。

实例:黑洞2001服务端的安装程序使用了文件夹的图标(图1)，当你隐藏了已知文件类型的扩展名时，这个文件看上去就是一个文件夹，当你好奇地点击它，打算进去看看有什么文件的时候，潘多拉的盒子就打开了。

识别方法

平时我们在运行一个文件的时候，常常习惯于利用鼠标双击运行它，这样Windows系统首先会判断文件类型打开其关联程序，然后再打开这个文件。这样运行方法就很容易激活修改了图标的木马程序。其实，我们只需要换一种方式，就可以避免。比如我们看到一个文本文件的文件后，并不要双击打开它，而是首先打开记事本程序，然后通过“文件”菜单中的“打开”命令来打开这个文件，如果显示出的是乱码，那么这个“文本文件”就肯定有问题。

安全专家点评:更换图标是最基本的木马服务端的伪装方式，但是只使用这一种方式是远远不够的。黑客会将它和文件更名、文件捆绑等一系列的伪装方式进行组合，这样才能骗得用户运行。所以不要随意执行别人发来的文件，那怕他是你的朋友也要谨慎一些。

画皮第二计:改名换姓

伪装等级:★★★

图标修改往往和文件改名是一起进行的，黑客往往将文件的名称取得非常的诱人，比如“漂亮的妹妹”之类，骗用户去运行它。当木马服务端程序运行以后，服务端程序也会将自己的进程设置为和正常的系统进程相似的名称，从而使用户不容易产生怀疑，被其麻痹。

实例:如图2所示，这是笔者制作的木马服务端安装程序，它在电脑上显示为“漂亮的妹妹.bmp”。如果你把它当作一个图像文件来打开的话，笔者的木马也就在你的电脑中安营扎寨了。

识别方法

首先要明确，不论木马如何伪装自己的图标和文件名，它的后缀部分必须是一个可执行的扩展名，比如EXE、COM、BAT等，否则木马不会运行自己的代码，在Windows系统的默认设置下会隐藏已知文件的扩展名，如果木马把自己的文件名改成了“XXX.bmp.exe”这个样子，扩展名“.exe”隐藏后，木马的文件名就会变成“XXX.bmp”，再给这个文件配一个图像文件的图标，这个文件就会变成“一只披着羊皮的狼”。

在“文件夹选项”对话框中选取“隐藏已知文件类型的扩展名”选项，具体的操作为:打开资源管理器，在菜单栏选择“工具→文件夹选择”打开“文件夹选择”对话框，去掉“隐藏已知文件类型的扩展名”复选框中的小钩即可撕掉这部分木马的画皮。

安全专家点评:这种方式在利用P2P程序进行文件传输的时候常常用到，而且通常是和图标伪装一起使用，让用户防不胜防。所以无论从那里得到的文件，在使用以前都通过杀毒软件对它进行一番查杀最好。

画皮第三计:文件捆绑

伪装等级:★★★★★

文件捆绑就是通过使用文件捆绑器将木马服务端和正常的文件捆绑在一起，达到欺骗对方从而运行捆绑的木马程序。捆绑后的文件很有迷惑性，而且加上木马一般在后台运行，用户点击后不会出现什么异状，往往会在不知不觉中中招。

画皮第四计:出错显示

伪装等级:★★★

绝大多数木马服务端安装时不会出现任何图形界面，因此，如果一个程序双击后没有任何反应，有经验的网民就会怀疑它是木马。为了消除这部分人心中的疑虑，黑客会让木马在被运行时弹出一个错误提示对话框。

实例:如今的木马程序，很多都有“安装完毕后显示提示”的选项，例如木马HDSPY，用户在配置服务端程序后，在“提示内容”输入框中输入需要的提示内容，例如“文件已损坏，无法打开”等。当用户运行服务端程序后，就会弹出我们设置的内容。

识别方法

如果该文件是木马程序，用户在看到了出错信息的时候往往已经中招。所以用户看到错误信息的时候要有所警觉，这个时候就要通过扫描系统端口判断自己是否中了木马。比如可以采用X-Scan对自己的系统进行扫描。如果发现可疑端口就要进行相应的查杀。

安全专家点评:这种方法虽然在早期可以骗得用户，但随着人们安全意识的提高，往往给人一种“画蛇添足”的感觉。

[1] [2] 下一页