火眼金星—利用数字签名来“查马”

yxwxqflbyg

互联网中假冒现象很多，这不在笔者的电脑，木马伪装成了正常的安全文件，上演了一出“真假美猴王”的闹剧。如果此时的你也有过相同的遭遇，不妨一同跟随笔者利用数字签名技术，来揪出伪装木马的邪恶“马脚”。
    小知识：简单地说所谓数字签名，就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。基于公钥密码体制和私钥密码体制都可以获得数字签名，目前主要是基于公钥密码体制的数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA，椭圆曲线数字签名算法和有限自动机数字签名算法等。
    一、版本信息漏“马脚”
    由于现在用户安全观念的提高，几乎网络上已经再也找不出，没有安装杀毒软件的机器了。所以别有用心的人，为了使其木马能够逃脱杀毒软件的追杀，纷纷给其木马穿上一层层厚厚的“盔甲”，让其杀毒软件无法分别。但是俗话说的好：“纸是永远包不住火的。”往往只注意加壳的人，几乎都会对其伪装文件的信息进行忽略，这里以123.exe陌生文件为例。
    首先找到并且右击“可疑文件”名称，选择“属性”选项，在弹出的“属性”对话框内，切入至“摘要”或者“版本”标签。一般情况下安全文件，都会在备注内写明其程序的信息介绍。如果你在“摘要”或者“版本”标签内，没有发现任何关于程序的信息，我们就可以判定其文件就是黑客伪装的木马程序（如图1）。

    从中我们可以清楚的看见标题、备注文本都为空白，非常可疑。当然也不排除你觉得这种方法比较武断，认定其木马有些太坚强，因此这里你不妨同时按住“Ctrl+Alt+Del”组合键，在弹出的“任务管理器”对话框内，切入至上方“进程”标签，结合此文件所调用的进程，就可清楚的判定其文件的是不是木马文件了。

zhenyid

抢个洗发坐一下，支持了

meidusha

还有这样的办法啊？学学

zjhewy

这个方法我用过,是不错.一查就灵.

hibenny

对于感染后不会立即自动运行的病毒是个办法

ztxtaidt

呵呵  有道理

wangruan

是个好办法

drgon16

学习了！

liulu2622

学习了