偷梁换柱——追回被盗的系统文件
除了添加自己到启动项、路径欺骗和更改文件并联以外，一般的木马还有一种计俩可以使用，那就是替换系统文件。由于如今的操作系统都是由许多文件共同构造的，并不是所有用户都能明白系统文件夹里每个文件的作用，这就给了木马可乘之机，它们盯上了系统里那些不会危害到系统正常运行而又经常会被调用的程序文件，像输入法指示程序internat.exe、让动态链接库可以像程序一样运行的rundll32.exe等。木马先把系统原来的文件改名成只有它们自己知道的一个偏僻文件名，再把自己改名成那个被替换的文件，这样就完成了隐藏极深的感染工作，从此只要系统需要调用那个被替换的程序进行工作，木马就能继续驻留内存了。那么文件被替换会不会导致系统异常呢？只要木马没有被删除，就不会造成系统异常，因为木马在作为原来的程序而被系统启动时，会获得一个由系统传递来的运行参数，这就是系统要求该程序工作的关键所在，木马会直接把这个参数传递给被改名的程序执行，像接力比赛那样完成数据操作，这样在系统看来就是命令被正常执行了，自然不会出现异常。但是也因为这样的特性导致木马被查杀后，系统的某些命令无法传递到本该执行操作的程序中，反而让系统出错了。（图8.被替换的RUNDLL32.EXE）

要修复它其实很简单，只要记住这个木马的文件名，在删除它之后再从系统光盘复制一个“原配”文件就可以了，如果没有系统光盘，就必须通过工具追踪木马传递参数的目标程序名，再把它改回来。


结语
木马的发展促进了安全技术的提高，而安全技术的提高又迫使木马必须往更高的级别发展，到现在木马已经形成了多个派系的共存，侦测它们的方法也不能再像以前那样简单了，例如检测异常端口的方法对于反弹木马而言是无效的，它并不在本机开放端口；就算防火墙能阻止内部未授权程序访问网络，但那只能针对TCP/UDP协议的木马，别忘记了还有ICMP后门的存在，防火墙通常不会阻止这类报文的。虽然ICMP协议的数据报文能完成的事情相对较少，但是对于一般的命令控制，它已经足够了……
木马之战，何时才能停歇呢？

上一页  [1] [2] [3] [4] [5] [6] [7]