本文目录一览:
木马通过什么途径盗走密码
1.防木马盗号。现在市面上有名的木马啊拉QQ大盗等等。都是记录型木马。就是说木马程序通过种种途径种到你所使用的机器上。这里可能是你在网吧上网,网吧机器被朋友种马。或者浏览了带有恶意代码的网站使自己中着。或者是其他病毒传播导致的。一旦中了这种记录型木马,一般有个特征就是QQ无故自动关闭。这时候当你再次登陆QQ时。。木马程序将记录你的键盘,获取你的号码和密码并发往盗号着设定的信箱或网址。所以一般来讲如果说QQ无故自动关闭,最后再登陆后立刻更改密码。这样盗号者获得的只是你以前使用的密码并不是你更改过的密码。也就是说再他更改你密码之前把密码改掉。当然有时候我们机器上的QQ程序出错也会关闭QQ,但这个 关闭一般都有QQ出错的关闭提示。这和木马关闭你QQ有明显的区别。就是在程序错误提示那。。可能我这样说很多朋友已经知道我说的那个程序出错的提示。2. 弱密码扫号(暴力破解)。之所以叫扫号。是因为这种盗号方法有着较高的技术含量。一般的朋友不容易做到。需要配合一定的扫号程序。腾讯公司对扫号的防范也比较好的。。扫号需要用代理技术通过大量代理IP去尝试弱密码。相对木马盗号复杂很多。其中的弱密码就是之简单的密码,例如:123465,654321等等。由此我们要做的就是不可以把密码设置的过于简单。。一般来将用生日做密码是不行的。因为这个可能被你身边的朋友所利用。尤其是美女们更要注意这一点。尽量设置的复杂些。后面我会给大家一些密码设置的建议其实弱密码也很容易造到暴力破解的威胁。就和扫号原理是一样的。只要破解者在扫号的时候把所有扫的号都设定成你的号码。密码则作为变量。一次次的提交到服务器去尝试。那么你如果是弱密码例如:5201314之类那么估计你危险了。3. 雷同密码盗号。现在N多个朋友网站,也有多老的程序。数据库都不加密的。我就曾经多次通过简单途径入侵一些垃圾网站。拿到他会员数据后。提取联系资料里user表里的Qqnumber和pssword两个字段。再用批量登陆QQ的工具软件登陆一变。这样就可以把QQ号码和网站密码相同的号码盗走。所以说。在不同的网站注册会员时要用不同的密码。建议最好有1及密码和2及密码 ,2及密码即不长用的密码,简单点也无所谓,比如一些不重要的网站等所用的。就可以用一个2及密码。重要的QQ,支付宝了,网银密码最好是各不相同。按照重要性,依次设置不同密码。 。这样有些朋友可能会说那样自己就记不住密码了。其实完全可以采用这样一种方法:比如去QQ俱乐部 注册个会员 密码就用qqjlb.com+你的密码(可以是生日或其他)。或者比如你自己常用密码是 那么你可以在其他重要地方的密码设置为 后面再加上100200(天灵灵地灵灵)。可以加多次。。这样就不会忘记自己的密码了。即使忘记就用常用密码+后缀去尝试。后缀当然可以加N次。只要不超过密码16位(QQ是这样的)的长度限制。3。暴力破解。顾名思义,强行破解某个指定的QQ号码。相对与上面的扫号来说这种方法有着更大的难度。这里基本可以分为2中,一是本地暴力破解。二是在线暴力破解。先拿本地暴力破解,就是指你在某太机器上登陆过QQ以后。这太机器上就留有了你的号码信息,当然也包括密码信息。在去年的几月份来着,网上有N朋友公布了QQ的加密算法。是通过N次的MD5加密。MD5不可逆的神话是山东大学什么王小云教授给打破的吧。。记 不清楚了。不管是什么原理吧总之你在本地的登陆信息可能被朋友利用的。针对本地破解的软件也是层出不穷。但同样也是很繁重的工作,不象用纪录形木马那么简单。防范的方法呢,还是归结到密码强度的问题上。别设置过于简单的密码。另外要注意在公共场所上网要有上机前,下机后重起机器的好习惯。一般来讲网吧都会还原的。至于说有朋友破解还原卡,还原精灵那是另一马事。再来说说在线爆破。这个在上面讲扫号的时候已经说过了,用各种晒号程序。所有号码都用一个指定的号码,密码做为变量,挂字典爆破。归结一起防止暴力破解就是要把密码强度设的高一点。象:E#%%*5¥*—%*这样的密码,即使某朋友24小时挂800台肉鸡跑你的密码,你也可以安枕无忧。4. 欺骗盗号。。千万别相信你中什么大奖了。前段时间QQ幻想这个游戏很火。我就曾经多次收到游戏里名字叫做“NPC”,“哇哈哈礼品大使”是类的朋友发的消息。内容无非就是说:“恭喜您,尊敬的用户您在XXX公司举办的XXX活动中获得大奖,请到 填写您的个朋友信息。我们将邮寄奖品到您家中。等你高高兴兴的去他的网址时,你会发现他的网页做的跟腾讯公司十分相似。这样很容易欺骗那些初级网民。甚至有些朋友就用qq.xxx.com的2及玉米就成功欺骗了大部分朋友。还有就是在中奖信息的提示中发个你个验证码。在你登陆他的网页前会弹出个脚本提示框。让你输入验证码。其实你随便输入什么都可以进去的。这样做只是曾加欺骗性而已。当你填写资料的时候你的QQ密码就这样被骗子弄走了。我忠告朋友们千万别相信天上掉馅饼的好事会落到你头上。随时注意保护自己的利益。不仅仅是QQ。其他类似的骗局也TMD的N多。这里我就不举例说明了。说到这里真想骂两句:最B4骗子了。没JB一点技术含量。日[Pge]5. 其他方面。局域网安全问题。很多网吧用的2K系统 。2K本身有IPC共享。这个共享一般网吧在做系统的时候不会删除的。很容易被利用。稍微懂点hcker的朋友就可以完全通过IPC控制你机器。如果有视频,都可以监控你的视频。偷窥你的隐私。所以说想要盗你号那也是翻云覆雨(不对。。。应该是易如反掌)。6. 号码被盗后怎么办?有的时候我们不小心号码被盗了。怎么处理呢?当然首先是如果你已经申请过QQ密码保护,那么就去 按照流程取回自己的密码。这里要给还没有设置密码保护的朋友一点建议,申请保护的时候一定记清楚自己的密码保护资料。免得造成取回密码时不成功。一旦忘记密码保护,还可以通过 腾讯公司的号码申诉页面进行取回。这里要注意的是 腾讯进行认证的时候主要通过2方面。一是申请这个号码时的“原始密码“,就是申请时所用的密码。就是号码所设置的第一个密码。二:如果号码已经申请过保护的。那么需要把原始的密码保护资料的“证件号码“。第二个方面当然是只适用与已经申请过保护,但忘记密码保护资料的情况。一般来说这2个有一个是正确的就可以取回号码。7. 恢复丢失号码里好友的方法:简单说就是同过复制QQ文件夹下的user.db这个文件到你新的号码里。当然这个前提是你曾经在家里或公司地方上网。也就是说能到你曾经上过QQ的电脑拿到你号码文件夹下的user.db这个文件。详细请参看这两篇文章:克隆好有分组 /Html/jiqio/162700509.html QQ普通会员免费克隆好友列表 /Html/jiqio/193433374.html 找会好友的方法与之很类似。只是要把丢是号码所在文件夹的user.db复制到新号上的文件夹下。登陆后就可以看到丢失的号码上面的好友列表,但这时候的好友信息都是本地的。并没保存在服务器上。还需要你手动的一个一个填加上去。
木马病毒是一种什么病毒?为什么能盗密码?
这类木马的工作原理是这样的,木马被执行后,隔一定时间,30秒或几分钟,会把QQ关掉,然后监控你的键盘,在你输入了帐号密码后把密码以邮件的方式传出去。发邮件的过程的很隐秘的,基本上很难发觉自己的电脑正在发邮件。 一般盗号木马都要你运行相应的软件中了一定的木马病毒才能盗号。 知道了木马的工作原理,你要做的就是发现QQ被强行关闭了,先不要开QQ,先查一下病毒。如果能找出来就马上杀毒。我的技巧是打密码的时候不要按顺序打,比如你的密码是123456,你可以先打34,然后用鼠标点在3的前面,打12,在用鼠标点在4的后面,打56,重点就是一定要用鼠标点,木马不能记录鼠标的动作。这样虽然麻烦,但是习惯了就很方便了,这样可以让盗号者就算拿到密码,也是一段错误的密码。在一定程度上可以防止被盗号
请问木马病毒是通过哪几种方式获取对方密码的?
一,是本地机器种木马.这是极为普遍的一种方法,而且很简单,只要您能有一个QQ(或游戏)木马就行,这种软件可以说遍地都是,数量很多,随便到哪个小黑客网站都能找到,其工作原理也很简单,首先它具备记录功能,敲入的密码可以自动记录下来,当木马被“种”到您的电脑里之后,它会更改注册表,随系统启动而自动运行,并会自动侦测QQ(游戏)的进程,一旦运行(游戏)它就开始记录键盘输入,有的木马会先弹出个伪装窗口和扣扣登陆窗口一样,等您把号码、密码都输入后点确定,它会提示密码不正确,关闭后再弹出真正的登陆框,无论是以上哪种方法,此时您的扣扣号+密码已经被发至盗号者的邮箱了。(这个现象在游戏里不会出现,因为两者的数据验证方式有所不同,这里不谈).这种方式一般需要盗号者有机会接触盗取对象的电脑,对于网络游戏来说,一般情况下是不现实的,也没有太多的实用价值.
二,是远程机器种木马.原理是和第一种方式一样的,唯一的不同就是盗号者不需要接触盗取对象的电脑,通过传输文件的方式种植木马.建议使用腾讯电脑管家杀毒软件,全面的查杀病毒木马程序,总计四大反病毒引擎:腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎,也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎,还应用了国外两大品牌的本地查杀引擎,有力的保障了对病毒的精准查杀!!可以彻底的清理干净病毒木马程序!!
确保咱们的电脑安全了,及时的改密码就可以了
希望可以帮到您了
木马是如何盗取密码的?
1 键盘记录和截屏属于常用手段,来个监视屏幕都有可能。
2 还可以搜索程序内存啊,然后获取密码,只不过现在qq的保护措施很严格,一般都是拿到的加密的密码,需要后期解密。【这种方法一般都需要对程序进行注入,清空内存?这不大现实吧?清空内存的话,到时候登陆的话可就是空密码登陆】。
3 还可以截取数据包啊!同理,保护措施还是很严格,需要后期解密。【这个只需要控制下指定程序的联网,然后卡个抓包软件就是】。
请问木马是如何盗取密码的?
是通过键盘记录.
不过一般的病毒是会破坏文件,感染程序的.
你说的应该是木马吧~
木马的原理:
马入侵的工作原理
在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成…………
木马侵的工作原理
木马入侵的工作原理
在介绍木马的工作原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。控制端:对服务端进行远程控制的一方。服务端:被控制端远程控制的一方。INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。控制端程序:控制端用以远程控制服务端的程序。木马程序:潜入服务端内部,获取其操作权限的程序。木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步,下面我们就按这六步来详细阐述木马的攻击原理。
(一)配置木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能:
(1)木马伪装:木马配置程序为了在服务端尽可能的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等。
(二)传播木马
1、传播方式:木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
2、伪装方式:鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。主要有以下6个方面:
(1)修改图标:当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(2)捆绑文件:这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(3)出错显示:有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
(4)定制端口:很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。
(5)自我销毁: 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
(6)木马更名:安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,在系统文件夹查找特定的文件。就可以断定中了什么木马。所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
(三)运行木马: 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了。
(1)由触发条件激活木马。触发条件是指启动木马的条件,大致出现在下面八个地方:
第一、注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run和RunServices主键,在其中寻找可能是启动木马的键值。
第二、WIN.INI:C:WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。
第三、SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic],[drivers32]中有命令行,在其中寻找木马的启动命令。
第四、Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。
第五*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
第六、注册表:打开HKEY_CLASSES_ROOT文件类型shellopencommand主键,查看其键值。举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”,这时你双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明的是不光是TXT文件,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以试着去找一下。
第七、捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
第八、启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件。
(2)木马运行过程。木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了。
在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口:
①1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木马会用保留端口作为木马端口的。
②1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口。
③4000端口:这是OICQ的通讯端口。
④6667端口:这是IRC的通讯端口。 除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
(四)信息泄露:一般来说,设计成熟的木马都有一个信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。
(五)建立连接: 一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线 。在此基础上控制端可以通过木马端口与服务端建立连接。
假设A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址。获得B机的IP 地址的方法主要有两种:信息反馈和IP扫描。我们重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只要扫描IP地址段中7626端口开放的主机就行了,假设B机的IP地址是202.102.47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后,开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,B机的IP是202.102.47.56,那么B机上网IP的变动范围是在202.102.000.000---202.102.255.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了。
(六)远程控制:木马连接建立后,控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大。
(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。
(2)文件操作:控制端可藉由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。
(3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽一系列高级操作。
(4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,这是多么吓人的事。
tt
四、黑客是如何骗取你执行木马的
如今大多数上网的朋友警惕性都很高,想骗取他们执行木马是件很困难的事,因为木马出现这么久,木马两个字听得人们耳朵都长出了老茧,可说是谈“马”色变,即使不是电脑高手都知道,一见到是exe 文件便不会轻易“招惹”它,因而中标的机会也就相对减少了。对于此,黑客们是不会甘于寂寞的,在黑客的世界里挑战与刺激才是他们趋之若婺的。
1、冒充为图像文件
首先,黑客最常使用骗别人执行木马的方法,就是将特洛伊木马说成为图像文件,比如说是照片等,应该说这是一个最不合逻辑的方法,但却是最多人中招的方法,有效而又实用 。
只要入侵者扮成美眉及更改服务器程序的文件名(例如 sam.exe )为“类似”图像文件的名称,再假装传送照片给受害者,受害者就会立刻执行它。为什么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是.exe,而木马程序的扩展名基本上又必定是.exe ,明眼人一看就会知道有问题,多数人在接收时一看见是exe文件,便不会接收了,那有什么方法呢? 其实方法很简单,他只要把文件名改变,例如把“sam.exe” 更改为“sam.jpg” ,那么在传送时,对方只会看见sam.jpg 了,而到达对方电脑时,因为windows 默认值是不显示扩展名的,所以很多人都不会注意到扩展名这个问题,而恰好你的计算机又是设定为隐藏扩展名的话,那么你看到的只是sam.jpg 了,受骗也就在所难免了。
还有一个问题就是,木马本身是没有图标的,而在电脑中它会显示一个windows 预设的图标,别人一看便会知道了!但入侵者还是有办法的,这就是给文件换个“马甲”,即修改文件图标。修改文件图标的方法如下:
1)比如到 下载一个名为IconForge 的软件,再进行安装。
2)执行程序,按下File Open
3) 在File Type 选择exe 类
4)在File Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作,也可以在网上找找) 。
5)然后按下File Save 便可以了。
如此这般最后得出的,便是看似jpg 或其他图片格式的木马了,很多人就会不经意间执行了它。
2、合并程序欺骗
通常有经验的用户,是不会将图像文件和可执行文件混淆的,所以很多入侵者一不做二不休,干脆将木马程序说成是应用程序:反正都是以 exe 作为扩展名的。然后再变着花样欺骗受害者,例如说成是新出炉的游戏,无所不能的黑客程序等等,目地是让受害者立刻执行它。而木马程序执行后一般是没有任何反应的,于是在悄无声息中,很多受害者便以为是传送时文件损坏了而不再理会它。
如果有更小心的用户,上面的方法有可能会使他们的产生坏疑,所以就衍生了一些合拼程序。合拼程序是可以将两个或以上的可执行文件(exe文件) 结合为一个文件,以后只需执行这个合拼文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如 wrap.exe) 和一个木马程序合拼,由于执行合拼文件时 wrap.exe会正常执行,受害者在不知情中,背地里木马程序也同时执行了。而这其中最常用到的软件就是joiner,由于它具有更大的欺骗性,使得安装特洛伊木马的一举一动了无痕迹,是一件相当危险的黑客工具。让我们来看一下它是如何运作的:
以往有不少可以把两个程序合拼的软件为黑客所使用,但其中大多都已被各大防毒软件列作病毒了,而且它们有两个突出的问题存在,这问题就是:
(1)合拼后的文件体积过大
(2)只能合拼两个执行文件
正因为如此,黑客们纷纷弃之转而使用一个更简单而功能更强的软件,那就是Joiner 了。此软件不但把软件合拼后的体积减少,而且可以待使用者执行后立马就能收到一个icq 的信息,告诉你对方已中招及对方的IP ,更重要的是这个软件可以把图像文件、音频文件与可执行文件合拼,用起来相当方便。
首先把Joiner 解压,然后执行Joiner ,在程序的画面里,有“First executable : ”及“ Second File : ”两项,这两行的右方都有一个文件夹图标,分别各自选择想合拼的文件。
下面还有一个Enable ICQ notification 的空格,如果选取后,当对方执行了文件时,便会收到对方的一个ICQ Web Messgaer ,里面会有对方的ip ,当然要在下面的ICQ number 填上欲收取信息的icq 号码。但开启这个功能后,合拼后的文件会比较大。
最后便按下“Join” ,在Joiner 的文件夹里,便会出现一个Result.exe 的文件,文件可更改名称,因而这种“混合体”的隐蔽性是不言而喻的。
3、以Z-file 伪装加密程序
Z-file 伪装加密软件是台湾华顺科技的产品,其经过将文件压缩加密之后,再以 bmp图像文件格式显示出来(扩展名是 bmp,执行后是一幅普通的图像)。当初设计这个软件的本意只是用来加密数据,用以就算计算机被入侵或被非法使使用时,也不容易泄漏你的机密数据所在。不过如果到了黑客手中,却可以变成一个入侵他人的帮凶。 使用者会将木马程序和小游戏合拼,再用 Z-file 加密及将 此“混合体”发给受害者,由于看上去是图像文件,受害者往往都不以为然,打开后又只是一般的图片,最可怕的地方还在于就连杀毒软件也检测不出它内藏特洛伊木马,甚至病毒!当打消了受害者警惕性后,再让他用WinZip 解压缩及执行 “伪装体 (比方说还有一份小礼物要送给他),这样就可以成功地安装了木马程序。 如果入侵者有机会能使用受害者的电脑(比如上门维修电脑),只要事先已经发出了“混合体,则可以直接用 Winzip 对其进行解压及安装。由于上门维修是赤着手使用其电脑,受害者根本不会怀疑有什么植入他的计算机中,而且时间并不长,30秒时间已经足够。就算是“明晃晃”地在受害者面前操作,他也不见得会看出这一双黑手正在干什么。特别值得一提的是,由于 “混合体” 可以躲过反病毒程序的检测,如果其中内含的是一触即发的病毒,那么一经结开压缩,后果将是不堪设想。
4、伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件 (例如 dll、ocx等) 然后挂在一个十分出名的软件中,例如 OICQ 。由于OICQ本身已有一定的知名度,没有人会怀疑它的安全性,更不会有人检查它的文件是否多了。而当受害者打开OICQ时,这个有问题的文件即会同时执行。 此种方式相比起用合拼程序有一个更大的好处,那就是不用更改被入侵者的登录文件,以后每当其打开OICQ时木马程序就会同步运行 ,相较一般特洛伊木马可说是“踏雪无痕”。更要命的是,此类入侵者大多也是特洛伊木马编写者,只要稍加改动,就会派生出一支新木马来,所以即使杀是毒软件也拿它没有丝毫办法。