如何往往是木马发现

Share

|

木马常常发现，在社区，如美国在线。 美国在线提出了一种互联网信息服务，为电脑用户不想要或需要得到电脑同好。 许多新人到互联网有没有兴趣在更精细点的联网协议和奥秘的gopher ， telnet的，阿尔奇，与美国在线强调方便易用，而不是1970s'geek朋党。 木马在美国在线的目标，通常最少的电脑识字成员（新用户，儿童）的那些社区，已经看到由technosnobs将其中至少电脑文盲群体。 这点非常重要，因为有黑帽子（坏人） ，他们把技术无知的日常用户为理由的恶意破坏。 他们的理由， "如果跛脚aolers不能学会保护自己的系统，他们应得的一切，他们得到的。 "

在企业舞台上，木马，是一个重大的安全关切，对多用户系统。 他们可以阴险，太，因为即使以后他们发现，他们的足迹留在阴暗角落的目录系统或windows注册表。 特洛伊木马往往是隐藏在编译可执行文件。 木马代码，因此没有在人类可读的格式或机器语言。 如果没有使用调试事业，你可以了解甚少，二进制文件。 用文本编辑器来查看一个二进制文件，举例来说，是徒劳无益的。 唯一可识别的文本字符串将版权信息，错误信息，或其他数据打印到标准输出上的各点，在该节目的执行-存根装载机讯息，例如。 在一个图形环境，可识别的弦乐团将变得更加不频繁或有用。 然而，逆向装配严重的数量可能具有破坏性的代码是不是一个任务，为缩头缩脑或资源不足。 正如我们已经指出的那样，这种代码并非总是容易自动分析。

注

编译可执行文件不是唯一的地方，你会发现木马。 一批档案和其他shell脚本， perl的节目，甚至代码写的javascript ， vbscript或东涌可以携带一个木马。 脚本语言已被描述为不适合创造木马如果守则依然人力可读性。 这都增加了受害人的机会中发现的违法代码。 在现实生活中，虽然中，受害人往往似乎很乐于来说听之任之代码，即使它的人的可读性。 该loveletter病毒被处决由无数的人，即使cleartext典明确列入一个子程序，其名称表示，它的用意是感染文件。

嵌套一个木马这么代码，但更可行的，如果这个文件的一部分，一个更大的软件包-例如，如果将整个包装摘录许多子目录。 在这种情况下，复杂的软件包，可以减少可能一个人，用正常的调查方法，将揭开木马，尤其是如果它的一个很容易被忽略的短序一样deltree是c ： \或执行rm - rf 。

特洛伊木马病毒通常不公布他们的本意。 更糟的是，许多木马伪装成合法的，众所周知的事业，您期望找到运行于该系统。 这样，你就不能靠检测出一个木马，列出当前的进程。

在检测出一个木马眼，在很大程度上取决于用户的体验。 用户不甚了解其作业系统是不太可能的风险，深入目录结构，寻找可疑的档案。 更熟练的用户是不可能有时间来研究复杂系统结构的现代操作系统，尤其是服务器级的机器。 即使是经验丰富的程序员可以有困难，找出一个木马，甚至当代码是供他们检查。 鉴定恶意代码通过反向工程，可以更加困难，时间长，按订单数量级。