互联网中假冒现象很多,这不在笔者的电脑,木马伪装成了正常的安全文件,上演了一出“真假美猴王”的闹剧。如果此时的你也有过相同的遭遇,不妨一同跟随笔者利用数字签名技术,来揪出伪装木马的邪恶“马脚”。
小知识:简单地说所谓数字签名,就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。
一、版本信息漏“马脚”
由于现在用户安全观念的提高,几乎网络上已经再也找不出,没有安装杀毒软件的机器了。所以别有用心的人,为了使其木马能够逃脱杀毒软件的追杀,纷纷给其木马穿上一层层厚厚的“盔甲”,让其杀毒软件无法分别。但是俗话说的好:“纸是永远包不住火的。”往往只注意加壳的人,几乎都会对其伪装文件的信息进行忽略,这里以123.exe陌生文件为例。
首先找到并且右击“可疑文件”名称,选择“属性”选项,在弹出的“属性”对话框内,切入至“摘要”或者“版本”标签。一般情况下安全文件,都会在备注内写明其程序的信息介绍。如果你在“摘要”或者“版本”标签内,没有发现任何关于程序的信息,我们就可以判定其文件就是黑客伪装的木马程序(如图1)。
从中我们可以清楚的看见标题、备注文本都为空白,非常可疑。当然也不排除你觉得这种方法比较武断,认定其木马有些太坚强,因此这里你不妨同时按住“Ctrl+Alt+Del”组合键,在弹出的“任务管理器”对话框内,切入至上方“进程”标签,结合此文件所调用的进程,就可清楚的判定其文件的是不是木马文件了。
二、利用第三方工具对文件签名进行检查
系统使用时间长了,里面文件自然也就会有很多,如果你按照以上判定方法,对系统里每个文件进行检查,不知何年何月才能全部检查一遍。因此这里我们不妨借助数字签名检测工具,来帮助你快速实现微软数字签名,以及系统文件可信性的验证功能。
从网上下载“数字签名检测”工具,然后将其解压释放到驱动器的任意盘符下,因为它是绿色软件,所以我们无须对你其进行安装,就可直接打开释放的“客户端”程序进行使用。操作完毕后,在显示界面的扫描目录文本后面,单击“……(浏览)”按钮,此时就会弹出“选择目录”对话框,从中我们选择一个硬盘驱动器或者一个文件夹后,单击“确定”按钮,就可将其载入到准备扫描的目录内。如果此时你只想让没有签名的文件显示出来,只要勾选上“仅显示没有数字签名的文件”复选框,单击“开始检测”按钮,就可对想要检测的盘符驱动器,进行数字签名验证扫描。稍等片刻后,扫描结果就会显示在其下方的编辑区内了,从而可以方便我们对木马病毒,及危险程序的检测。当然这里不排除你只针对某个文件觉得可疑,可以直接将其文件拖到“数字签名检测”工具界面,对其进行数字签名检测。
另外有些正常的程序,有时也会没有数字签名,所以在检测过程中有可能会碰到,很多没有数字签名的文件。因此要想从中快速分辨出木马病毒,就需要结合系统时间功能,来找出可疑文件了。
这里先确定电脑出现异常时间,比如频繁出现广告、电脑运行缓慢等现象。然后单击桌面左下角“开始”按钮,选择“搜索”选项,在弹出的“搜索结果”对话框内,切入至左侧“所有文件和文件夹”标签。在“全部或部分文件名”文本内,输入“*.exe;*.dll”名称,多个类型名可用分号隔开,确定这两个类型的搜索原因,主要是由于病毒和木马文件,通常都会是.exe或者.dll类型文件。然后在下面将搜索范围指定为系统目录C盘符,并且设定系统出现不正常的时间段后,单击“搜索”按钮,就可查找出所有符合这段时间的可疑文件(如图2)。
搜索完毕后,可能因为搜索时间的间隔时间太长的关系,会显示出很多符合系统异常时间的文件,那么该如何才能从中确定出哪些才是真正的木马文件?这里就得请出刚才用到的“数字签名检测”工具,对这些文件进行签名检测。如果从中发现没有数字签名的文件,那么进本上就可确定这是木马病毒了,换句话说其文件没有任何身份表识,当它一出现后,系统就开始有异常状况,它不是病毒,那谁才是病毒呢!
三、利用签名揪出DLL木马
众所周知,DLL木马是近几年较为流行的木马,同时它也是目前最难查杀的木马之一,不过现在有了数字签名技术就大不一样了,正常的DLL文件都是有数字签名的,反之木马就没有,我们可以从这里做“突破口”,来查找潜伏在深处的木马文件。
不过俗话说的好:“工欲善其事,必先利其器”。这里所要用到的工具,就是SystmeDetector工具。它是一款功能强大的辅助反病毒软件,在自动化清理病毒方面,其拥有着最快的反应速度,可以给我们节省很多宝贵的时间。在手动清理病毒方面,它提供了强大的工具箱功能,并且配合数字签名、日志检测功能,让您可以体验一种杀毒DIY的乐趣。
打开“SystmeDetector”客户端程序,在弹出的软件界面内,依次选择“工具箱”→“进行管理”选项,此时其软件就会自动检测并显示,当前系统中所有运行的程序进程(如图3)。
从中你只要在编辑区内,单击认为可疑的进程文件,还可对其进行数字签名认证,从而可以防止木马改成与系统一样的进程名蒙混过关。另外里面凡是蓝色的文件名,都是安全进程,反之不安全进程都为灰色,因此我们主要将检查的注意力放到灰色进程即可。这里选择某灰色进程名称,其下方模块路径编辑内,就会显示出该进程所调用的模块,其中安全模块依然使用蓝色标识,反之灰色就是可疑模块。如果你想了解其可疑模块的详细信息,只要右击该选项,选择“Google查询”选项,就可很快查找到其DLL文件的真实身份。如果可以确认它就是木马,我们只要右击该模块选项,选择“卸载此DLL”选项,就可将此DLL文件从进程中卸载,然后找到该文件将其删除,即可使一切恢复正常。
