特洛伊马的欺骗执行方法
首先,黑客最常使用的方法是诱骗他人执行木马,即把木马变成图片文件,比如照片等。应该说这是最不合逻辑的方法,但却是最受欢迎的方法,有效又实用。
只要入侵者装扮成女生,把服务器程序的文件名(比如sam.exe)改成“类似”的图像文件的名字,然后假装给受害者发照片,受害者就会立即执行。为什么这是一个不合逻辑的方法?镜像文件的扩展名根本不能是exe,特洛伊的扩展名基本上必须是exe。明眼人一看就知道有问题,一般人看到是exe文件就不会接收。能做些什么?其实方法很简单。他只需要把文件名,比如“sam.exe”改成“sam.jpg”,那么在传输的时候,对方只会看到sam.jpg。到了对方电脑,很多人不会注意到扩展问题,因为windows默认不显示扩展,而恰好你的电脑设置了隐藏扩展,那么你只会看到sam.jpg,被骗是必然的!
还有一个问题就是特洛伊本身没有图标,但是在电脑里会显示一个windows预置的图标,别人看到就知道了!但是入侵者还是有办法把文件换成“马甲”,就是修改文件图标。
修改文件图标,如下所示:
(1)下载一个叫IconForge的软件,安装。
(2)要执行程序,按文件>打开
(3)在文件类型中选择exe类。
(4)在File > Open中加载预先制作好的图标(可以用绘图软件或者专门制作图标的软件制作,也可以在网上找)。
⑸然后按文件>保存即可。
这样,最后的结果是一个看起来像jpg或其他图片格式的特洛伊马,许多人会无意中执行它。
2、合并程序作弊
通常,有经验的用户不会混淆图像文件和可执行文件,所以许多入侵者简单地将特洛伊马称为应用程序:反正他们都使用exe作为扩展名。然后他们用诡计欺骗受害者,比如新游戏,万能的黑客程序等。,以便让受害者立即执行。而木马程序执行后一般没有任何反应,所以在沉默中,很多受害者认为文件在传输过程中被破坏,不予理会。
如果有比较细心的用户,以上方法可能会让他们产生不好的怀疑,于是衍生出一些法术程序。马赛克程序可以将两个或两个以上的可执行文件(exe文件)合并成一个文件,然后只需要执行马赛克文件,两个可执行文件就会同时执行。如果入侵者将一个正常的可执行文件(一些小游戏如wrap.exe)与一个木马程序组合在一起,wrap.exe会在组合文件执行时正常执行,受害者也会在不知情的情况下偷偷执行木马程序。Joiner是其中最常用的软件。因为它的欺骗性更强,使得安装特洛伊马的一举一动都不着痕迹,是非常危险的黑客工具。让我们看看它是如何工作的:
在过去,许多可以结合两个程序的软件被黑客使用,但大多数都已被各大杀毒软件归类为病毒,它们有两个突出的问题,即:
(1)合并文件的体积太大。
(2)只能合并两个执行文件。
正因为如此,黑客们抛弃了它,转向了一个更简单、更强大的软件,那就是Joiner。这款软件不仅缩小了组合软件的大小,还可以在用户执行后立即收到一条icq消息,告诉你对方已经招到了对方的IP。更重要的是,这款软件可以将图像文件、音频文件和可执行文件结合在一起,使用起来相当方便。
首先,解压缩Joiner,然后执行Joiner。在程序的屏幕中,有“第一个可执行文件:”和“第二个文件:”两项,在这两行的右边分别有一个文件夹图标,用来选择要合并的文件。
下面还有一个用于启用icq通知空间。如果选中,当另一方执行文件时,它将收到来自另一方的ICQ Web消息,其中将包含另一方的ip。当然,接收信息的ICQ号要填在下面的ICQ号里。但是打开这个功能,合并后的文件会比较大。
最后,按“Join”,在Joiner的文件夹里,会出现一个Result.exe的文件。文件名是可以改的,所以这个“混血儿”的隐蔽性不言而喻。
3.用Z文件伪装加密程序。
Z-file伪装加密软件是台湾省华顺科技的产品。文件压缩加密后,以bmp图像文件格式显示(扩展名为bmp,执行后为普通图像)。设计这个软件的初衷只是为了加密数据,这样即使电脑被入侵或者非法使用,也不容易泄露你的机密数据。但如果到了黑客手里,就可能成为入侵他人的帮凶。用户将把特洛伊马程序和小游戏结合起来,然后用Z-file加密,将这种“混合物”发送给受害者。因为它看起来像一个图像文件,受害者往往不这样认为。打开之后只是一个大概的图片。最可怕的是,连杀毒软件都检测不到特洛伊马甚至病毒!当受害者的警惕性解除后,让他解压,用WinZip执行“伪装”(比如有个小礼物送给他),这样就可以成功安装特洛伊了。如果入侵者有机会使用受害者的电脑(比如对电脑进行现场维护),只要事先发出了“混血儿”,就可以直接用Winzip解压安装。因为上门维修是徒手使用他的电脑,受害人绝对不会怀疑他的电脑里被植入了什么东西,时间也不长,30秒就够了。即使他在受害者面前“光明正大”地操作,也未必能看到这些黑手在做什么。特别是由于“混血儿”可以躲过杀毒程序的检测,如果其中含有一触即发的病毒,一旦解压缩,后果将不堪设想。
4、伪装成应用程序扩展组件
这种特洛伊是最难识别的。黑客通常会将木马写入任何类型的文件(如dll、ocx等。)然后把它们挂在一个很有名的软件里,比如OICQ。因为OICQ本身就有一定的知名度,没有人会怀疑它的安全性,也没有人会去查它是不是有更多的文件。当受害者打开OICQ时,这个有问题的文件将同时被执行。这种方式比使用组合程序有一个更大的优势,就是不需要修改入侵者的登录文件,以后特洛伊每次打开OICQ都会同步运行,相比一般的特洛伊可以说是“踏雪无痕”。更有甚者,这些入侵者大多是特洛伊马作家。只要稍加改动,就会衍生出一匹新的特洛伊马,所以即使它是一个病毒软件也没有办法杀死它。