木馬是怎樣一步一步的走進(jìn)你的？讓我們看清它的進(jìn)攻是個(gè)怎樣的進(jìn)程吧！

1、冒充為圖像文件

首先，黑客最常使用騙別人執(zhí)行木馬的方法，就是將特洛伊木馬說(shuō)成為圖像文件，比如說(shuō)是照片等，應(yīng)該說(shuō)這是一個(gè)最不合邏輯的方法，但卻是最多人中招的方法，有效而又實(shí)用 。

只要入侵者扮成美眉及更改服務(wù)器程序的文件名(例如 sam.exe )為“類似”圖像文件的名稱 ，再假裝傳送照片給受害者，受害者就會(huì)立刻執(zhí)行它。為甚么說(shuō)這是一個(gè)不合邏輯的方法呢？圖像文件的擴(kuò)展名根本就不可能是 exe，而木馬程序的擴(kuò)展名基本上又必定是 exe ，明眼人一看就會(huì)知道有問(wèn)題，多數(shù)人在接收時(shí)一看見(jiàn)是exe文件，便不會(huì)接收了，那有什么方法呢? 其實(shí)方法很簡(jiǎn)單，他只要把文件名改變，例如把“sam.exe” 更改為“sam.jpg” ，那么在傳送時(shí)，對(duì)方只會(huì)看見(jiàn)sam.jpg 了，而到達(dá)對(duì)方電腦時(shí)，因?yàn)閣indows 默認(rèn)值是不顯示擴(kuò)展名的，所以很多人都不會(huì)注意到擴(kuò)展名這個(gè)問(wèn)題，而恰好你的計(jì)算機(jī)又是設(shè)定為隱藏?cái)U(kuò)展名的話，那么你看到的只是sam.jpg 了，受騙也就在所難免了!

還有一個(gè)問(wèn)題就是，木馬本身是沒(méi)有圖標(biāo)的，而在電腦中它會(huì)顯示一個(gè)windows 預(yù)設(shè)的圖標(biāo)，別人一看便會(huì)知道了！但入侵者還是有辦法的，這就是給文件換個(gè)“馬甲”，即修改文件圖標(biāo)。

修改文件圖標(biāo)的方法如下:

（1)比如到http://www.mydown.com 下載一個(gè)名為IconForge 的軟件，再進(jìn)行安裝。

（2）執(zhí)行程序，按下File > Open

（3）在File Type 選擇exe 類

（4）在File > Open 中載入預(yù)先制作好的圖標(biāo)( 可以用繪圖軟件或?qū)ｉT制作icon 的軟件制作，也可以在網(wǎng)上找找) 。

（5）然后按下File > Save 便可以了。

如此這般最后得出的，便是看似jpg 或其他圖片格式的木馬了，很多人就會(huì)不經(jīng)意間執(zhí)行了它。

2、合并程序欺騙

通常有經(jīng)驗(yàn)的用戶，是不會(huì)將圖像文件和可執(zhí)行文件混淆的，所以很多入侵者一不做二不休，干脆將木馬程序說(shuō)成是應(yīng)用程序：反正都是以 exe 作為擴(kuò)展名的。然后再變著花樣欺騙受害者，例如說(shuō)成是新出爐的游戲，無(wú)所不能的黑客程序等等，目地是讓受害者立刻執(zhí)行它。而木馬程序執(zhí)行后一般是沒(méi)有任何反應(yīng)的，于是在悄無(wú)聲息中，很多受害者便以為是傳送時(shí)文件損壞了而不再理會(huì)它。

如果有更小心的用戶，上面的方法有可能會(huì)使他們的產(chǎn)生壞疑，所以就衍生了一些合拼程序。合拼程序是可以將兩個(gè)或以上的可執(zhí)行文件(exe文件) 結(jié)合為一個(gè)文件，以后 o需執(zhí)行這個(gè)合拼文件，兩個(gè)可執(zhí)行文件就會(huì)同時(shí)執(zhí)行。如果入侵者將一個(gè)正常的可執(zhí)行文件(一些小游戲如 wrap.exe) 和一個(gè)木馬程序合拼，由于執(zhí)行合拼文件時(shí) wrap.exe會(huì)正常執(zhí)行，受害者在不知情中，背地里木馬程序也同時(shí)執(zhí)行了。而這其中最常用到的軟件就是joiner，由于它具有更大的欺騙性，使得安裝特洛伊木馬的一舉一動(dòng)了無(wú)痕跡，是一件相當(dāng)危險(xiǎn)的黑客工具。讓我們來(lái)看一下它是如何運(yùn)作的：

以往有不少可以把兩個(gè)程序合拼的軟件為黑客所使用，但其中大多都已被各大防毒軟件列作病毒了，而且它們有兩個(gè)突出的問(wèn)題存在，這問(wèn)題就是：

（1）合拼后的文件體積過(guò)大

（2）只能合拼兩個(gè)執(zhí)行文件

正因?yàn)槿绱?，黑客們紛紛棄之轉(zhuǎn)而使用一個(gè)更簡(jiǎn)單而功能更強(qiáng)的軟件，那就是Joiner 了。此軟件不但把軟件合拼后的體積減少，而且可以待使用者執(zhí)行后立馬就能收到一個(gè)icq 的信息，告訴你對(duì)方已中招及對(duì)方的IP ，更重要的是這個(gè)軟件可以把圖像文件、音頻文件與可執(zhí)行文件合拼，用起來(lái)相當(dāng)方便。

首先把Joiner 解壓，然后執(zhí)行Joiner ，在程序的畫面里，有“First executable : ”及“ Second File : ”兩項(xiàng)，這兩行的右方都有一個(gè)文件夾圖標(biāo)，分別各自選擇想合拼的文件。

下面還有一個(gè)Enable ICQ notification 的空格，如果選取后，當(dāng)對(duì)方執(zhí)行了文件時(shí)，便會(huì)收到對(duì)方的一個(gè)ICQ Web Messgaer ，里面會(huì)有對(duì)方的ip ，當(dāng)然要在下面的ICQ number 填上欲收取信息的icq 號(hào)碼。但開(kāi)啟這個(gè)功能后，合拼后的文件會(huì)比較大。

最后便按下“Join” ，在Joiner 的文件夾里，便會(huì)出現(xiàn)一個(gè)Result.exe 的文件，文件可更改名稱，因而這種“混合體”的隱蔽性是不言而喻的。

3、以Z-file 偽裝加密程序

Z-file 偽裝加密軟件是臺(tái)灣華順科技的產(chǎn)品，其經(jīng)過(guò)將文件壓縮加密之后，再以 bmp圖像文件格式顯示出來(lái)(擴(kuò)展名是 bmp，執(zhí)行后是一幅普通的圖像)。當(dāng)初設(shè)計(jì)這個(gè)軟件的本意只是用來(lái)加密數(shù)據(jù)，用以就算計(jì)算機(jī)被入侵或被非法使使用時(shí)，也不容易泄漏你的機(jī)密數(shù)據(jù)所在。不過(guò)如果到了黑客手中，卻可以變成一個(gè)入侵他人的幫兇。 使用者會(huì)將木馬程序和小游戲合拼，再用 Z-file 加密及將 此“混合體”發(fā)給受害者，由于看上去是圖像文件，受害者往往都不以為然，打開(kāi)后又只是一般的圖片，最可怕的地方還在于就連殺毒軟件也檢測(cè)不出它內(nèi)藏特洛伊木馬，甚至病毒！當(dāng)打消了受害者警惕性后，再讓他用WinZip 解壓縮及執(zhí)行 “偽裝體 (比方說(shuō)還有一份小禮物要送給他)，這樣就可以成功地安裝了木馬程序。 如果入侵者有機(jī)會(huì)能使用受害者的電腦(比如上門維修電腦)，只要事先已經(jīng)發(fā)出了“混合體，則可以直接用 Winzip 對(duì)其進(jìn)行解壓及安裝。由于上門維修是赤著手使用其電腦，受害者根本不會(huì)懷疑有什么植入他的計(jì)算機(jī)中，而且時(shí)間并不長(zhǎng)，30秒時(shí)間已經(jīng)足夠。就算是“明晃晃”地在受害者面前操作，他也不見(jiàn)得會(huì)看出這一雙黑手正在干什么。特別值得一提的是，由于 “混合體” 可以躲過(guò)反病毒程序的檢測(cè)，如果其中內(nèi)含的是一觸即發(fā)的病毒，那么一經(jīng)結(jié)開(kāi)壓縮，后果將是不堪設(shè)想。

4、偽裝成應(yīng)用程序擴(kuò)展組件

此類屬于最難識(shí)別的特洛伊木馬。黑客們通常將木馬程序?qū)懗蔀槿魏晤愋偷奈募?(例如 dll、ocx等) 然后掛在一個(gè)十分出名的軟件中，例如 OICQ 。由于OICQ本身已有一定的知名度，沒(méi)有人會(huì)懷疑它的安全性，更不會(huì)有人檢查它的文件多是否多了。而當(dāng)受害者打開(kāi)OICQ時(shí)，這個(gè)有問(wèn)題的文件即會(huì)同時(shí)執(zhí)行。 此種方式相比起用合拼程序有一個(gè)更大的好處，那就是不用更改被入侵者的登錄文件，以后每當(dāng)其打開(kāi)OICQ時(shí)木馬程序就會(huì)同步運(yùn)行 ，相較一般特洛伊木馬可說(shuō)是“踏雪無(wú)痕”。更要命的是，此類入侵者大多也是特洛伊木馬編寫者，只要稍加改動(dòng)，就會(huì)派生出一支新木馬來(lái)，所以即使殺是毒軟件也拿它沒(méi)有絲毫辦法。

木馬病毒到處散播自己，把自己種植到網(wǎng)友的電腦，然后禍害我們，我們?cè)趺茨芫痛巳淌?，所以大家一定要深入了解木馬的種種行為，不讓木馬有可趁之機(jī)。

【編輯推薦】

1. 木馬抹掉自身入侵痕跡
2. 木馬下載器冒充系統(tǒng)文件
3. 淺析網(wǎng)購(gòu)木馬運(yùn)營(yíng)團(tuán)伙是怎樣分工的