今儿下午整理硬盘的时候,突然发现角落里蹲着个,这玩意儿眼生得很!当时后脖颈汗毛都竖起来了,赶紧把下载记录翻了个底朝天。去年五月装打印机驱动的时候确实顺手勾了个推荐软件,八成就是它偷偷溜进来的。
第一步:先给它来个三堂会审
鼠标右键点开属性栏,嚯,公司名称那栏居然是空的!正常软件咋会连开发商都不敢写?再瞅瞅数字签名,好家伙,压根没有签名信息。立马启动任务管理器,这货居然在后台悄咪咪占着30MB内存,关掉进程后硬盘灯还疯狂闪了五分钟。
第二步:上工具查它老底
把文件扔进杀毒软件扫描,结果弹了个"低风险灰色程序"的警告。不死心又传到在线检测网站,五十多个引擎里有仨标了红:
- 其中一个说它会篡改注册表启动项
- 另一个检测到键盘记录行为特征
- 最绝的是某个引擎显示这文件三个月前刚被黑客组织当钓鱼工具用过
第三步:亲手扒它代码
咬咬牙用十六进制编辑器开文件,搜索栏输了个"http"直接炸锅了:
- 五六个俄罗斯字母混搭的域名
- 七八行疑似键盘监听的代码段
- 还埋着段强制开机自启的注册表命令
现在查可疑文件可快多了
总结出个傻瓜鉴别法:
- 先看开发商信息和数字签名有没有猫腻
- 杀毒软件扫完立刻扔在线检测平台复核
- 查文件创建时间——要是突然冒出来的,十有八九是定时炸弹
