冒充为图像文件
将特洛伊木马说成为图像文件,比如说是照片
伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马,黑客们将木马程序写成任何类型的文 件(例如dll ocx)等然后挂在一个十分出名的软件中,在打开如OICQ时, 有问题的文件即会同时执行。
此类入侵大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支 新木马来,所以即使杀毒软件也拿它没有丝毫办法
下载的软件中找到源木马文件,根据大小去系统文件夹中找相同大小的文件,判 断下哪个是木马就行了,而此种木马我自我销毁功能。在没查杀木马的工具帮助 下,就很难删除木马了
木马采用的伪装方法
木马更名
为了伪装自己木马服务端程序命名跟系统文件名差不多的名字,对系统 文件不够了解,不敢删除(WINDOW .exe dl)
利用系统自动运行的程序
木马的种类
破坏型
惟一的功能就是破坏并且自动删除文件,(DLL、INI、EXE)
密码发送型
找到隐藏密码并把它们发送到指定的邮箱。
密码存在电脑中 密码记忆功能 黑客软件长期潜伏记录操作者键盘的操作,从中寻找有用的密码
远程访问型
最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户端知道服务端的IP 地址,就可以实现远程控制,实现观察“受害者”正在干什么,
11另一种鲜为人知的启动方式,是在开始—运行—执行Gpedit.msc,设置用户添 加的自动启动的程序,如果刚才添加的是木马程序,那么一个“隐形”木马 就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用 程序”找不到,在注册表中也是找不到
12还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法,那就是“系统 路径遍历优先级欺骗” 在系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会 由系统所在盘符的根目录开始向系统目录深处递进查找,而不是精确定位。 这种手法常被用于“internat.exe”因为无论哪个windows版本的启动项里,它 都是没有设置路径的
