后使用快捷导航没有帐号？
查看: 1091|回复: 8
注册时间最后登录阅读权限100积分24210精华1帖子
秒回是一种态度。。。
本帖最后由 北晨星光 于
19:12 编辑
首先：如果别人聊天有发送你文件，不需要害怕木马，因为木马运行首先前提条件是你必需打开，至于木马的自动运行，也只不过是要木马之前有运行过，作者在木马运行事件中加入了开机自动运行等条件满足后就启动事件等等。因此，拥有一双火眼金睛识别木马文件尤为重要！
这里，本人在网上找了部分图片作分析：
23:48 上传
我们可以发现这个文件他有一个.exe小尾巴，这也就说明，这个可能不是一个文件夹，而是一个可执行文件，可以右击属性来确认是否是可执行文件，如果是一个可执行文件，那么木马的嫌疑就非常大了，一旦是木马，点击，也就中招了。
23:34 上传
我相信，绝大部分的朋友是不会对这个文件起疑心的，会认为这就是一个文本文档文件，会毫不犹豫地对其双击。可是双击运行后，那么也就中了陷阱，其实这是一个经过伪装的Setup.exe，它其实是一个“熊猫烧香”病毒样本。
可能大家会有疑惑，为什么一个exe程序的“扩展名”会显示为txt呢？严格来讲，它是一种混淆视听的手段。因为对于一个exe程序来说，我们不单单可以把它伪装成txt格式，还可以伪装成诸如jpg、doc、ppt等格式。其实现原理就是采用了“反转字符串”的方法。我们就拿“熊猫烧香”病毒样本为例:
19:11 上传
首先可以使用Resource Hacker将该程序的图标修改为文本文档的图标：
10:32 上传
然后我们将这个程序重命名为“readtxt.exe”，此时保持重命名的状态别确定，将光标移到“read”与“txt”的中间，单击鼠标右键，选择“插入Unicode控制字符”中的“RLO”：
10:32 上传
图5这个“RLO”是一个转义字符，只要在一行字符前面加上它，就可以实现文本的反向排列。它是Unicode为了兼容某些文字的阅读习惯而设计的一个转义字符。当我们加入这个字符后，从而也就实现了图2中的效果。那么利用这个原理，我们就能够实现非常多有创意的，并且颇具迷惑性的文件名称，再将文件的图标修改为对应的假的后缀名的图标，那么我相信，即便是资深反病毒爱好者，也很可能会落入陷阱的。
三，这是之前QQ华夏论坛一位朋友发的帖子上的部分内容
23:21 上传
看似是张图片，可是要注意下面的“快捷方式”四个大字，右击属性
23:19 上传
可见他指向的是对应文件夹一个隐藏的脚本命令，这就非常可疑。
今天就说这么多，文章部分内容有转载，有不足楼下朋友补充。
注册时间最后登录阅读权限100积分42013精华0帖子
QQ大斗士, 积分 42013, 距离下一级还需 17987 积分
该帖被管理员或版主屏蔽
正在更新，请稍候。????????????
注册时间最后登录阅读权限100积分42013精华0帖子
QQ大斗士, 积分 42013, 距离下一级还需 17987 积分
版主推荐的帖子，稀世绝帖，值得一看。此帖给人的感脚是，天苍苍野茫茫。
正在更新，请稍候。????????????
注册时间最后登录阅读权限20积分7737精华0帖子
初级守卫, 积分 7737, 距离下一级还需 2263 积分
前5分钟打开，是被屏蔽的，后5分钟打开，又弄个版主推荐，你这帖子一波三折，很奇特
注册时间最后登录阅读权限0积分1803精华0帖子
提示: 作者被禁止或删除 内容自动屏蔽
注册时间最后登录阅读权限100积分24210精华1帖子
秒回是一种态度。。。
既然不想打开你接收他干嘛，不要误导大家，最好别接
因为你接收后并不知道他的安全性，只是让你增加一些判断力，或者你已经天真认为是安全的，当你发现民蛛丝马迹后，会突然反应过来是木马程序
Powered by