黑客常用兵器之木马篇

核心提示： “的确，你要是在DOS模式下删除了他们，黑客常用兵器之木马篇(7)，冰河就被破坏掉了，但是你的计算机随之会无法打开文本文件，这个监控软件使用128bit MD5的技术来捕获所有文件的状态，系统中的任何文件的变动都逃不过他的监视，因为你删除的sysexplr.exe文件是和文本文

“的确，你要是在DOS模式下删除了他们，冰河就被破坏掉了，但是你的计算机随之会无法打开文本文件，因为你删除的sysexplr.exe文件是和文本文件关联的，你还必须把文本文件跟notepad关联上。修改注册表太危险，你可以在Windows资源管理器中选择查看菜单的文件夹选项，再选择文件类型进行编辑。不过最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文件，再选择打开方式，选中〖始终用该程序打开〗，然后找到notepad一项，选择打开就可以了。”

“哈哈，按照前辈这么说来，我们只要抓住了这特征，天下的木马也奈何不了我们了。”

五

“哈哈，你可知道除了冰河这样的木马经常使用的隐身技术外，更新、更隐蔽的方法已经出现，这就是―驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式―监听端口，而采用替代系统功能的方法改写驱动程序或动态链接库。这样做的结果是：系统中没有增加新的文件所以不能用扫描的方法查杀、不需要打开新的端口所以不能用端口监视的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行。在正常运行时木马几乎没有任何的症状，而一旦木马的控制端向被控端发出特定的信息后，隐藏的程序就立即开始运作。此类木马通过改写vxd文件建立隐藏共享的木马，甚是隐蔽，我们上面的那些方法根本不会对这类木马起作用。

“可是前辈说的这种木马晚生并没有见到啊。”

“笨蛋！你没有见过，你怎么知道我老人家也没有见过？告诉你我已经看到了一个更加巧妙的木马，它就是Share。运行Share木马之前，我先把注册表以及所有硬盘上的文件数量、结构用一个监控软件DiskState记录了起来，这个监控软件使用128bit MD5的技术来捕获所有文件的状态，系统中的任何文件的变动都逃不过他的监视，这个软件均会将它们一一指出。”