剖析黑客是如何躲过防毒软件检测的

ZDNet软件频道 时间:2009-11-04 作者: | 中国IT实验室 我要评论()
本文关键词:杀毒软件 黑客 Windows
通常使用NetBus 或 BO 的所谓“黑客”,一般要找一些合适的人物下手(即是电脑低手),但即使找到目标也不算大功告成,可能对方是电脑新手,连 NetBus 及 BO 都不知道是什么,或者根本听都没听说过过,对方也可能未必会受骗去执行那服务器程序的。还有些人会用杀毒软件查看这文件有没有病毒,而各大防毒软件又把这类入侵程序列作病毒,所以对方一定不会执行此类文件。但他们还是有办法避开防毒软件的检测的。

  通常使用NetBus 或 BO 的所谓“黑客”,一般要找一些合适的人物下手(即是电脑低手),但即使找到目标也不算大功告成,可能对方是电脑新手,连 NetBus 及 BO 都不知道是什么,或者根本听都没听说过过,对方也可能未必会受骗去执行那服务器程序的。还有些人会用杀毒软件查看这文件有没有病毒,而各大防毒软件又把这类入侵程序列作病毒,所以对方一定不会执行此类文件。但他们还是有办法避开防毒软件的检测的。

  其中黑客最常用的是一个名为 "exejoiner" 的程序,它可以将两个 exe 文件合拼,之后如果一执行这个"混合体",便会同时执行合拼的两个程序。因为 NetBus 的服务器程序在执行后是没有反应的,所以对方只会以为执行了另一个普通的程序罢了!十分容易的使用介面让黑客们趋之若婺,而绝大多数防毒软件还未把它列为病毒!

  exejoiner 可以用来掩饰安装特洛伊木马的行为,是一件相当危险的黑客工具。

  我们来看一下他们是如何使用exejoiner 的:

  1.执行 patcher.exe,就会出现它的操作介面。

  2.在 "Exe 1 path" 中按 "Browse",找出想合拼的文件(例如 NetBus 的服务器端程序)。

  3.在 "Exe 2 path" 中按 "Browse",找出想合拼的文件(例如一些小玩意的程序)。

  4.按 "Join",在 patches.exe 的同一个数据夹下就会出现一个名为 "patched.exe" 的文件。

  5.将这个文件更改名称(例如 hello kitty.exe),然后寄给目标人物。

  6.对他/她说送他一份小礼物及叫他执行。

  7.由于特洛伊木马执行时是没有任何反应的,而防毒软件又不能把它检测出来,所以对方只会以为执行了另外一普通的程序,中标也就难免了。

  据我所知对付它目前还没有有效的防御方法,只有注意平时不要打开来历不明的邮件,不要执行可疑的文件,防患于未然吧。

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134