腾讯电脑管家刘钊：如何手撕一个木马

很多木马在沙箱中会摆出一副人畜无害的姿态，或者一旦遇到调试器就自动崩溃。这个时候我们就需要审查木马的代码，检查其中的“反制”代码，然后选择性地跳过这些代码，再让木马跑一次。

刘钊所做的一切，都是为了最终抓住木马“现形”的证据。而一旦掌握了它的行为，就可以满心仇恨地用正确的方法“手撕”木马了。一般的木马会被提交到杀毒引擎中进行查杀，而对于“特立独行”的木马，则需要开发专杀工具。

【哈勃分析系统上线的木马专杀工具】

然而事实是残酷的。从安全研究员开发查杀规则到用户可以使用查杀工具，一定存在一个哪怕十分微小的时间差。

事后的补救永远是下策。

如果木马足够“野蛮”，很可能在你查杀的时候，它已经成功把你的资金转走，或者成功地破坏了你的文件。面对这些情况，我们也无能为力。所以最好的办法是防患于未然。当人们都能提高警惕，不运行非官方的程序，不点击可疑邮件或链接的时候，木马才会无计可施。

刘钊说。

“凶残”的对手

身为安全专家，刘钊并不能战胜所有的对手。这是一个事实。

敲诈木马就是刘钊面对的“凶残对手”。这类源自于国外的木马一旦成功感染，就会锁住用户的设备或文件。然后会在设备上显示敲诈信息。用户在支付了“赎金”之后就会从黑客手里得到解锁密码。

【敲诈木马 Jigsaw 发作的界面】

刘钊告诉雷锋网，

2015年流行的 Android 手机锁屏敲诈木马会采用诱骗的手段获得用户的授权，然后在屏幕的顶端覆盖一层蒙版，使得用户所有的点击行为全部失效。

然而，这类敲诈木马并没能击败他。经过研究，他和团队发现，只要连接电脑，就可以通过调试模式对手机发送指令，关掉顶层的蒙版，进而杀掉这个木马。如果手机没有设置调试模式，也可以重启进入安全模式，抑制所有第三方程序的请求，从而干掉木马。为此，哈勃系统还专门推出了查杀这类木马的专杀工具。

【Android 手机敲诈木马】

真正可怕的对手，是“电脑密锁”类的敲诈木马。这是于2015年初开始流行的敲诈木马。它的可怕之处并不在于木马本身的技术，而在于其中一些采用了 RSA 加密算法对用户的文件进行加密。不要小看这个 RSA 算法，大多数银行都在采用这种加密算法保护用户的数据安全。

一个足够长度的 RSA 密钥，如果采取暴力破解的方法，需要最好的计算机集群连续工作上千年。截至目前，世界上所有的黑客都没有发现这个加密算法的弱点。换句话说，如果这种加密算法存在漏洞，那么我们所有人的银行账户都会暴露在危险之中。

【敲诈木马 CTB-Locker 的索要赎金界面】

对于这类木马，唯一的解决方案就是在它发作之前清除掉。如果不幸被袭击，受害者除了乖乖按照黑客的指示通过地下暗网缴纳比特币赎金，似乎没有更好的选择。不过，刘钊告诉雷锋网(搜索“雷锋网”公众号关注)，在这波席卷全球的密锁类木马大潮中，中国大陆成为了唯一未被“玷污”的净土。

目前还没有检测到大规模传播的PC密锁类敲诈木马，一个重要的原因就是中国的用户没有办法连接到暗网，所以就算想支付赎金都没有办法。。。

面对这么“恶劣”的土壤，木马作者似乎没有任何动力把敲诈木马翻译成简体中文。这对刘钊来说也许是个尴尬的好消息。

“宅男”或“铁汉”

很多人会觉得刘钊有一张标准的宅男脸。但在代码世界里，他却是一个站在在我们身前和木马病毒死磕的“铁汉”。

我们每日坐在钢筋楼宇中，觉得安全无虞；殊不知网络世界仍处蛮荒。这些信奉丛林法则的黑客一手炮制的木马，想要掠夺的是我们每一个人的金钱财产、珍贵资料，以及对互联网世界的信任。如果你了解了刘钊和木马之间的战争。相信你也会得出这样的结论：

这场战争并不是儿戏，容不得半点疏忽。

也许下一次腾讯电脑管家又弹出木马警告的时候，你会想到，在这场无休止的战争中，刘钊和他的同事们又打了一次胜仗。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!