查看: 3210|回复: 8
收起左侧

[其他] 火眼金星—利用数字签名来“查马”

[复制链接]
yxwxqflbyg
发表于 2007-9-21 22:05:14 | 显示全部楼层 |阅读模式
互联网中假冒现象很多,这不在笔者的电脑,木马伪装成了正常的安全文件,上演了一出“真假美猴王”的闹剧。如果此时的你也有过相同的遭遇,不妨一同跟随笔者利用数字签名技术,来揪出伪装木马的邪恶“马脚”。
    小知识:简单地说所谓数字签名,就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。
    一、版本信息漏“马脚”
    由于现在用户安全观念的提高,几乎网络上已经再也找不出,没有安装杀毒软件的机器了。所以别有用心的人,为了使其木马能够逃脱杀毒软件的追杀,纷纷给其木马穿上一层层厚厚的“盔甲”,让其杀毒软件无法分别。但是俗话说的好:“纸是永远包不住火的。”往往只注意加壳的人,几乎都会对其伪装文件的信息进行忽略,这里以123.exe陌生文件为例。
    首先找到并且右击“可疑文件”名称,选择“属性”选项,在弹出的“属性”对话框内,切入至“摘要”或者“版本”标签。一般情况下安全文件,都会在备注内写明其程序的信息介绍。如果你在“摘要”或者“版本”标签内,没有发现任何关于程序的信息,我们就可以判定其文件就是黑客伪装的木马程序(如图1)。

    从中我们可以清楚的看见标题、备注文本都为空白,非常可疑。当然也不排除你觉得这种方法比较武断,认定其木马有些太坚强,因此这里你不妨同时按住“Ctrl+Alt+Del”组合键,在弹出的“任务管理器”对话框内,切入至上方“进程”标签,结合此文件所调用的进程,就可清楚的判定其文件的是不是木马文件了。

评分

参与人数 1经验 +2 收起 理由
YoYo + 2 感谢提供分享

查看全部评分

zhenyid
发表于 2007-9-25 15:55:21 | 显示全部楼层
抢个洗发坐一下,支持了
meidusha
发表于 2007-9-25 19:52:52 | 显示全部楼层
还有这样的办法啊?学学
zjhewy
发表于 2007-9-26 15:32:00 | 显示全部楼层
这个方法我用过,是不错.一查就灵.
hibenny
发表于 2007-9-26 15:42:09 | 显示全部楼层
对于感染后不会立即自动运行的病毒是个办法
ztxtaidt
发表于 2007-9-30 11:04:57 | 显示全部楼层
呵呵  有道理
wangruan
发表于 2007-10-12 14:31:03 | 显示全部楼层
是个好办法
drgon16
发表于 2007-11-29 19:56:00 | 显示全部楼层
学习了!
liulu2622
发表于 2007-11-29 20:30:22 | 显示全部楼层
学习了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 11:43 , Processed in 0.131146 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表