最近论坛频频有人放绑了木马的外挂。导致很多人受损。幸甚的是管理员清理及时,让大家以免中招。
这里,我给大家介绍下简单识别病毒木马,以及简单的防范。
首先需要大家会使用几样工具。
1,虚拟机
2,木马辅助查找工具
特别提示:木马辅助查找工具是一款安全检测工具。但是360等杀软会误认为是病毒木马。郑重提示:绝对是误报!
如果您虽然不会使用,但是想深入学习了解,想知道如何检测一般的外挂木马,那么可以继续往下看我的帖子。或者的话,就不要看下去了吧。
介绍下我的这个方式检测的原理。
一、木马病毒的形式
1,大多外挂原版都是没有病毒的。但是别有用心的人,利用捆绑软件。混合着外挂捆绑着病毒木马发给大家使用。这种病毒木马我们简称捆绑形木马!【这种方式很好检测】
2,纯粹的木马病毒。也就是说,就是一个木马病毒。连一个外挂界面都没有,点开就中毒了。【这种病毒木马非常不好判断,如果做了免杀,杀毒软件还杀不出来.】
以上就是大多数木马病毒的存在形式
二、木马病毒的检测方式
1.对于第一种捆绑形式很多软件就可以检测。我推荐使用灰鸽子作者写的一款软件。木马辅助查找器。官方下载地址:http://www.huigezi.net/list.asp?b=3 我想很多人都知道灰鸽子木马很厉害,所以我相信这个作者写的木马辅助查找器也是相当的厉害的。
软件截面图如下:
我建议大家使用这个界面的东西。对的。就是使用检测 EXE 文件是否有捆绑数据。这个东西对捆绑了的木马病毒很好使用。使用方式如下:
按照以下1,2,3步骤选择外挂文件,然后点击打开:
然后就会出现下面的检测结果了:
[看到了吧。检测结果出来了。提示有捆绑数据。一般说来,有捆绑数据的外挂,一般就是带有捆绑病毒木马了。但是注意:只是一般说来有病毒木马。这个只是告诉大家要小心了。但是比如我的外挂CPK,也提示有捆绑数据,但是绝对不是病毒。因为CPK是易语言写的。内置支持库。因为有了内置支持库,所以检测当然是捆绑数据了。如果我学下疯子挂规挂,支持库规支持库。那么我的挂检测出来也是未捆绑数据的。
那么有的朋友问了。我也不知道这个外挂是不是易语言写的。检测出来有捆绑数据我怎么确定是不是病毒啊。
那么我们用到这个软件的另外一个功能:文件操作监视器
我们什么也不选择,直接点“开始监视”
我们通过上图可以看到,我画红线的地方释放出了一个名字为123456.exe的程序。这还能是什么。不用说也知道。肯定是木马病毒了。
我们再来看下正规的易语言程序释放出的是什么东西。
看到了吗?正规的易语言程序释放出来的是.fne或者.fnr等结尾的文件。跟疯子老大发的支持库文件名字是一样的!
所以。总结下:
1.先检测有无捆绑数据。如果有捆绑数据就一定要小心!!!!
2.点击“开始监视”。然后运行外挂,如果外挂运行释放出来的不是易语言.fne或.fnr结尾的文件,大家就注意了。一定要小心了!!对于监视到的其他,例如.log结尾的文件,大家不要担心,这个是系统日志文件,并不是程序释放的什么文件,不用担心。
-----------------------------------------
上面解释了大家怎么识别。但是有朋友肯定问了。如果这样识别,我肯定要运行下外挂,外挂一运行,发现是木马。但是我都运行了,不还是被害了吗?对于这点,所以我希望大家可以学习使用虚拟机。
在虚拟里里面检测,以及使用未知程序与外挂。那样就万无一失了!
虚拟机学习安装语音视频教程(1):http://v.ku6.com/show/a-PV0XCX3FSNsMcJ.html
虚拟机学习安装语音视频教程(2):http://v.ku6.com/show/oEb6j8wjAZy9OqtM.html
特别提示:木马辅助查找工具是一款安全检测工具。但是360等杀软会误认为是病毒木马。郑重提示:绝对是误报
