通常，商业软件发行时，为向用户证明该程序未经篡改，会在发布版本时使用数字签名。如下图：

图1　正常文件的数字签名

通常，当一个EXE被破坏（如病毒感染或被捆绑木马），数字签名信息会丢失，从文件属性中看会发现原来数字签名标签页缺失。

但现在发现部分木马传播者采取了更巧妙的方式，一般粗略查看文件属性时，会发现该EXE文件的数字签名看上去没有异常。如下图：

图2　病毒感染后的EXE文件也能看到数字签名

如果不小心，就会认为这个EXE完全正常，但是这个文件已经被捆绑了多个木马。在沙箱（sandboxie）中运行这个EXE，会发现该程序向windows\system32目录写入了4个dll文件，毒霸也会报告发现病毒。

图3　沙箱中可以看到执行该程序后病毒生成的DLL文件

图4　沙箱中执行病毒EXE时，毒霸会报告发现病毒

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: