Windows通用四招对付捆绑木马

　现在的牧“马”者是越来越狡猾，他们常用文件捆绑的方法，将木马捆绑到图像、纯文本等常见的文件中，然后通过QQ、Email或MSN等将这些文件传送给受害者，而一旦不慎打开这些文件，你就“中招”了(当然是木马了)。那对付这些捆绑木马有哪些通用规则值得我们平时注意的？IXPUB技术博客_tgaPzOeT
IXPUB技术博客1sF6ptC \
　　第一招：常用杀毒软件IXPUB技术博客S1ux_?$y Mf

R2gDH8IO7Y3w0x0　　这是最安全、最经典的防御方法了，特别是对通过QQ、MSN等即时通讯工具传送过来的文件，在打开他们之前一定要用杀毒软件查毒。对于一些常见的木马，只要升级到最新

4b;S7pt0c;u0
%qO~;H)x4_0　　图1IXPUB技术博客X_
OS8\JYii:Lv

_)j UEcw^0　　在MSN Messenger中，选择“工具→选项”，再单击“消息”标签，在“文件传输”下，选中“使用下列程序进行病毒扫描”复选框，然后选择相应的杀毒程序，可以让MSN对传输的文件自动杀毒（如图2）。IXPUB技术博客 \r6X3ZHI5G2n

ok4Bu_"m:kj0IXPUB技术博客 M5V
Y([9Uu7H#Yf.Tl

w(^4Sn,t^0

L^h@5W jsAU0第二招：显示文件全名
4B(w.^C]0{#WJ0
f1xmX:hb,a(l0　　其实很多牧“马”者是利用Windows默认的“隐藏已知类型文件扩展名”，比如把木马捆绑到一幅JPG图片中，当你双击打开这个文件时，的确实是一幅JPG图片，而木马却在后台偷偷的运行了。解决方法：打开“我的电脑”，单击“工具→文件夹选项”，单击“查看”，去除“隐藏已知类型文件扩展名”前的小钩（如图4）。这样如果碰到类似a.jpg.exe的文件就可以看到它的真面目，并格外小心了。IXPUB技术博客 FHx1y(I"h

$[Sm |yL`-P}0IXPUB技术博客 bB%xha!O `

2u ^7KaS$a
M)xJ[s0IXPUB技术博客am
N%a{-y
　　图3IXPUB技术博客CpN3k+W2K
IXPUB技术博客u4hg1c'f"GT;q%ba d U

IXPUB技术博客4f-wB gCr9Z4Iw&|L!P
　　图4IXPUB技术博客
~)YEcI6W.}J2b[
IXPUB技术博客z'|)`1D7IDB7I;s
　　第三招：善用进程监视IXPUB技术博客1rWGtidc

Td `/i%q0　　如上所述，被捆绑木马是当我们打开一个文件的时候，它就在后台运行，比如说在打开一个图像文件的时候，除了看图程序外还应该有一个进程在运行。这样我们在打开这类文件时，先用Ctrl+Alt+Del调出系统当前的进程列表并记下，打开文件后迅速切换到任务管理器窗口查看，多出的那个进程就是被释放出来的木马了。
w+W5w8Ck U)r0IXPUB技术博客)S sWf N/RyRt~a
　　小提示
b.ZP}X3C0
J4D$V(P-NO&lJ0　　有些木马程序非常的小巧，它的安装过程也是一晃而过，所以切换到任务管理器速度也要快。也可让任务管理器常驻内存，请参考本期系统一句话技巧中的《隐藏运行任务管理器》。IXPUB技术博客wp"^
[llN$a6iH

i}-z)`!C!yJ0　　第四招：专业工具协助IXPUB技术博客 l/gsni
IXPUB技术博客$}Ip@S P3w4eA
　　Fearless Bound File Detector就是一款专门用于探测是否捆绑文件的软件，运行程序后，将需要检测的文件拖到窗口中，然后单击“扫描文件”按钮即可。如果正常，程序提示“没发现任何东西，文件显然清洁的”，如果是捆绑文件，程序则给出“发现 4E007h 额外的字节，开始补偿于 C600h”的提示，如图5所示。IXPUB技术博客w D*o Lp

?Gz
wMe#b*e&Z-C0IXPUB技术博客 LFoUUq,}&q9f-D{ `

Re*C&Q5x&DA-MJ0　　图5IXPUB技术博客Q$q T3S5Tm6m

])mDi#Y E3M0
7SVu#\Pn0　　小提示IXPUB技术博客"IV1rP8YX&jIx&j
IXPUB技术博客9CE9T;Cd;d-@
　　如果用它清洁被捆绑文件，剩下的只是捆绑的头文件了，而且大小均为57.5KB，会破坏原来的文件，所以如果觉得被捆绑文件对你有用，切勿采取清洁文件的方法，但可以用程序来检测是否捆绑其他文件。IXPUB技术博客*W#OV;b(k8U