局域网管理与安全（包括机房管理） 黑客 黑客的手段你想不到：一个躲藏进图片的“木马”.docxVIP

黑客的手段你想不到：一个躲藏进图片的“木马” 冰雪缘?2017-11-19 00:09:42 昨天，小编突然注意到鼠标异样闪烁，耳机里有“哒哒”声。查看各种日志，最后看到一个开源的UI包竟然请求过网络！ 通过抓包，顺利找到了木马窝藏地址：一张图片！ 图片挺正经的呀！没有异常，打开后是一个画着windows xp 蓝屏时的图片。看看图片二进制头： 科普一下 任何编译过的文件都有特有的二进制头！对安全很严格的网站上传图片文件都会检查二进制头，通常是读取2位头数据，再解包对比MIME是否相符，看下面图片例子： 图片1（下）： 图片2（下）： 图片……10（下）： 通过观察，bluescreen.jpg的二进制头根本不是.jpg，倒是像.png，而然，这张图片有大动作！ bluescreen.jpg改为bluescreen.zip,用7Z或者解压工具打开，你会看到： 吆，挺会伪装的嘛。 竟然隐藏着一个文件夹，创建日期是2010年！ 竟然看到了可执行程序，好大胆的黑客！ 解压到桌面时候，被安全软件拦截了！ 这个木马我一周前发现了，竟然找了一周才发现，他会感染C:Windows里的任意一个系统应用，感染后又在其他盘里感染EXE安装包，等你杀毒后，在你安装本地的EXE时伺机感染C:Windows……你清除了这里，那里的木马运行了，清除了那里的，这里的又发作了…… 还记得学校里机房的一个未命名病毒，最后整到图书馆停止开放一周！本来是360都能删除的病毒，360开机发现病毒，清除时候它复制进E盘（E盘不会关机清空）；删除E盘时候复制进C盘……最后360一直“壮观”的杀毒中……当然学生进来时候大多数是把U盘插进了电脑。 回到这个图片木马，也是同样心机婊。我尝试了Norton、Avast、小红伞……都不能识别 木马，Avast能在解压木马后报毒。 360、火绒4.0更不用说了，解压后都不会报毒。 Windows 7自带的防火墙，在双击木马文件时候报毒！ 由于这个图片上社区作者从网上“百度”的，并不知情。作者检测证实木马图片后，当晚就删了图片，并更新了源码。 启示 互联网里处处都是病毒、木马，只是我们检测不出来而已。这周周五和周六两天的大清理，从小编的电脑里发现了2个蠕虫病毒和一个木马病毒 ，像小编这种以编程和网络分析为生的人竟然也中招。这个图片木马暂时还无法彻底清除。为了彻底清除所有病毒木马，小编拿到了了卡巴斯基全方位安全软件。