如今的网络，几乎已经成了木马的网络。游戏、软件里面有木马，网页中有病毒，视频里面也夹着些危险的东西，几乎没有任何安全感可言。在某些用户的眼中，也许只有文本文件才是比较安全的，当看到一个“文本”图标的文件，都会毫不犹豫的双击打开它。但是，所谓的“文本文件”真的就这么安全吗?也许在这些“文本文件”中隐藏着更大的陷井，让你的电脑陷入万劫不复之地!

　　一、别被“文本”图标欺骗了你

　　几乎所有的木马病毒都懂得更改文件图标，欺骗用户运行中招，所以在面对一个文本图标的文件时，别被文件的图标所欺骗。

　　假设黑客制作了一个木马程序“Server.exe”，他会将程序图标更改为文本图标，用以欺骗一些粗心大意的用户。

　　修改木马图标非常简单，一般可使用专门的图标修改工具，如"Executable File Icon Changer"、"Program Icon Changer"等。以Executable File Icon Changer为例，这个工具支持替换Exe、Dll、Ocx、Scr等文件的图标，被改文件即使移动到其它电脑上，也能显示更改后的文件图标。

　　可以看到，新生成的程序图标与真正的文本文件混在一起，是很不容易被发现的(如图)。尤其是在资源管理器的“文件夹选项”中将默认文件后缀名隐藏的用户，很可能无意中就会将这个文件成文本文件打开运行了。

　　图 难以辨别的真假文本文件

　　二、双后缀文件，真假难辨

　　在显示文件后缀的主机上，上面的“文本木马”还是比较容易被看出破绽的。黑客们可能还会对文件名动一番手脚，让它更具迷惑性。

　　首先可为文件名加上双后缀，将上面的木马文件名改为“******.txt.exe"，在一些隐藏了文件后缀名的电脑上，这个文件会显示文件为“******.txt”，这样就迷惑了很多用户，以后文件名缀就是.txt的文本文件。

　　黑客可能使用更绝一招数，在两后缀名间加空格，将文件改名为“******.txt 　　.exe”。由于文件现在是双后缀，并且文件名足够的长，我们在文件名中添加了足够的空格，以至于在文件名中只显示“.txt”后缀，而表示真正文件类型的“.exe”后缀却隐藏起来了(如图)!

　　图 利用空格隐藏真正的文件类型

　　这样的文件是不是很具迷惑性?不是细心看，根本看不出来文件后缀中那几个小小的省略号，电脑用户十有八九会被其欺骗!即使用户在资源管理器中开启了显示文件后缀名的选项，也依然会在很大程度上被蒙骗过去!

　　三、深度隐藏，不会显示的文件名

　　大家知道，木马攻击早已从简单的程序木马，演变成了网页木马、图片木马等多种分类。有没想这，也许你打开的一个貌似文本的文件，实际上却运行了一个网页木马呢?

　　黑客首先会制作一个后缀为“.html”的网页木马，这类木马制作很简单，例如利用IE的Iframe漏洞就可以方便的制作一个溢出HTML网页，只要有人打开些网页，就会造成IE溢出，系统打开端口供黑客远程连接控制。制作的具体方法在这里就不多说了，假设网页文件文件名为“test.html”，黑客可能将它改成“test.txt.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}”。这样该文件在资源管理器中即使采用了显示后缀名的方式，也只显示为后缀名为.txt的文本文件，一般人根本看不出任何的异样。但是因为{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}实际上就是html的注册表文件关联，双击时却会调用IE打开文件以HTML格式运行，造成IE溢出系统打开远程控制端口。

　　四、系统崩溃，毁于“碎片”

　　很多朋友听说过Windows中的碎片对象文件(.shs文件)，但是对于这种文件所带来的威胁，却不是很重视。不过当你运行了一个貌似文本文件的文件碎片时，也许才知道不起眼的碎片，原来有如此大的破坏力!

　　黑客会创建一个碎片对象文件，点击“开始→运行”，输入“packager.exe”后回车，运行“对象包装”程序。然后点击菜单“文件→导入”，弹出一个文件对话框，任意选择一个文件。

　　点击菜单“编辑→命令行”，在弹出的命令行输入对话框中输入命令“cmd.exe /c del c:\*.*”(如图)，确定后此命令将显示在程序右边窗口中。

　　图 输入恶意命令

　　点击菜单“编辑→复制数据包”命令，回到Windows桌面上，点击鼠标右键，在弹出菜单中选择“粘贴”，可以看到，桌面创建了一个名为“片段”的碎片对象文件。接下来，再将文件改名为“片段.txt”。

　　一旦有人双击运行了这个“文本”文件，桌面上闪过一个命令窗口之后，C盘根目录下的所有文件都被删除了，重启后无法正常进入系统。黑客基至可以在命令行窗口中输入破坏性更强的命令，例如格式化硬盘“cmd.exe /c format c:\”等。

　　五、精心构造的“文本陷阱”

　　如果说将木马伪装成文本的方法有些复杂，那么“文本陷阱”这个文本利用工具就是一个现成的文件木马，足以让大家体会到在“文本”伪装下的木马攻击威力!

　　下载这个文本利用工具并解压，可以看到在文件夹中有两个名为“admin”的“文本文件”，当显示文件名后缀后，可以得知这两个文件的真实文件名分别为“admin.txt”和“admin.exe”。其中“admin.exe”是真正的利用程序，由于采用了文本文件的图标，所以在隐藏文件扩展名时，很容易被误认为这是一个文本文件。

　　“admin.exe”文件其实是一个伪装成文本的入侵程序。它的功能非常强大，可以实现在被攻击主机上添加管理用户;打开磁盘自动运行功能以运行特殊木马;开启Windows XP/2003的远程终端等等。接下来我们在本机上运行这个木马，以便读者朋友可以更清楚的认识到它的危害。

　　当我们在电脑上运行这个程序后，进入命令提示符窗口，输入“net user”命令，即可显示电脑上的所有用户帐号。可以看到，在用户列表中有一个名为“IWAM-IUSR”的用户名，这个用户就是刚才运行文本陷阱后添加用户。“IWAM-IUSR”的默认密码为“gxgl.com#2004”。这个用户名现系统中默认的用户名非常相似，一些没有经验的管理员很难察觉出来。

　　此时右击“我的电脑→属性”，打开“系统属性”窗口，在“远程”标签中可以看到“远程桌面”中的“允许用户远程连接到此计算机”项已经被开启。这就是刚才运行文本陷阱运行，自动为黑客入侵开启的后门。由于刚才添加了一个管理员用户，而管理员用户默认是被许可进行远程连接的，因此黑客可以用刚添加的用户名和密码，通过3389远程终端连接运行了文本陷阱的主机，轻松的完成入侵。而当黑客在被入侵电脑上添加了一个管理员帐号后，其可以完成很多的入侵操作，例如远程连接、开启服务和端口等等。这方面的内容在此前的“黑客防线”中已经介绍过很多，在这里就不再详细说明了。

　　总结：应对自如，轻松化解“文本”危机

　　看过前面的内容，相信大家一定会发出“木马和黑客攻击无孔不入”的硬要感慨，看似安全的文本文件，原来也暗藏了这么多的危险。如何才能防范各种木马病毒借助文本文件进行攻击呢?

　　对于在文件图标和文件后缀上作手脚的文件，只要提高警慎性，看清楚文件的真实名称再运行，一般是不会中招的。

　　对于文件碎片之类的文本文件，就需要对系统进行一下简单的设置了。打开注册表编辑器，找到“HKEY_CLASSES_ROOT\.shs”键，将的“ShellScrap”删除。此后，双击“.shs”文件时就不会自动运行，而是弹出一个提示对话框，询问是否进行操作。这样就可以在很大程度上防范“.shs”文件的攻击了。