TA的每日心情 | 开心
2024-10-21 14:10 |
|---|
签到天数: 882 天 [LV.10]以坛为家III
|
|
防范各种病毒的软件和大部头的分析文章很多了,本文再从文件扩展名这个不为人所注意的小方面添砖加瓦,分析一下为什么看了这么多的文章,还是有不少人不幸“中招”。
无论病毒种类怎么变化,其发作是一定要有加载执行动作的,即使是含毒的文件已经进入你的电脑内潜伏或者是你浏览的网页要求加载运行java script、ActiveX控件,在你点击运行或选择“是”之前,病毒只是一个没打开的潘多拉盒子。我们也都知道了不要轻易打开电子邮件里的可执行文件类的附件,但是显然病毒的制造者们也看了那些警告防范的文章,在心理学和视觉上开始玩一些小把戏,让你以为那些附件只不过是没有危险的文本文件或是图像文件等。因为目前大多数人使用的是windows系列操作系统,windows 的默认设置,是不显示普通已注册关联文件的扩展名的,而当你一点击那个看上去很友善的文件,里面的......就跳出来了,这才是真正的暗黑破坏神。
比如臭名昭著的爱虫病毒,最初流行的邮件格式如下:
主题:I LOVE YOU (尽管知道这可能会是病毒,一看到你的心还是会砰砰的跳:)
正文:kindly check the attached LOVE LETTER coming from me.
附件:LOVE-LETTER-FOR-YOU.TXT.vbs (看见了?这就是把戏的关键)
以后出现的几种变种都只是更换主题来迷惑你。
要是你以为这是个文本文件选择了打开的话,它首先拷贝自己到硬盘上,然后设置注册表以在每次启动时都运行。在 Windows 系统目录下它将自己命名为 MSKernel32.vbs和LOVE-LETTER-FOR-YOU.TXT.vbs。在 Windows 目录下,它将创建一个名为 Win32DLL.vbs 的脚本。
接着,你正在运行mIRC的话,它会尝试通过IRC系统传播自身的拷贝;如果允许的话,它还会在网上下载一个 WIN-BUGSFIX.exe 的文件,听起来好象和修复 BUG有关,其实不然,这个独立的程序会扫描电脑内存中的网络密码并将他们发送至病毒的制造者。
当然,这家伙还是有马脚露出来的,你细心一点,就会发现它的图标不是文本文件的图标而是VB的,问题是很多初学者从来没经验过,老手也可能因为没留意而打开它,这里特别再提醒一次,注意你收到邮件中附件的文件格式,不仅要看显示的扩展名,还要注意其实际显示的图标,至少目前还没有以图片或文本形式加载能搞破坏的病毒。检查一下有无以下这两个文件(隐藏文件也不要放过)
LOVE-LETTER-FOR-YOU.HTM
LOVE-LETTER-FOR-YOU.TXT.vbs
这是爱虫病毒利用扩展名玩的小花招,大家可以按此类推,警觉其他病毒利用类似的方式侵入,突破你以为固若金汤的防线,最后你还不能怪任何人。因为它也可能会是*.jpg.exe(可执行文件), *.txt.doc(微软word的宏)......诸如此类。建议初学电脑的人在“查看―文件夹”选项里,把“隐藏已知文件类型”选项上的钩钩去掉,您就可以一目了然地看到那些病毒的伎俩了,也方便你正确地选择文件类型的关联或是改扩展名。等您修炼成正果,电脑玩到得心应手的时候,再改回来也不迟。
这是防范病毒的方面。在数据安全方面,可以利用文件的扩展名来给文件作简单的“加密”,在一定程度上保护数据的安全: 我们知道,windows无论打开什么文件,首先要与可执行的工具程序关联,通常还带有相应的图标。如果是windows本身以及已经在注册表注册的工具程序都不能识别的文件,视窗里显示的就是一片白底加一个微软的视窗图标,表示系统不能识别该文件格式。此时如果你点击它企图运行,windows会弹出一个对话框,让你首先选择要关联的程序。文件的简单加密就可由此而生。
我们可以把文件的扩展名改为非常规的名称,比如*.KKK, *.3TS,前提是不能与当前目录已经存在文件的扩展名相同;甚至是去掉扩展名,让windows的默认工具IE及一般的程序不能正常的点击打开该文件,您初学电脑的小孩就不能看到你写的WORD文档或计事本格式的日记了。当然,有些人会先打开工具程序,然后选择“所有文件”来选择,针对这种情况,你可以把几种文件的正常扩展名掉换,比如把图片JPEG和WORD的文档DOC调换,当用正常方式甚至是“打开所有文件”的方式来浏览查看的时候,将是一片乱码,偷看者也很不容易想到该文件原来是这样“加密”的,他使用任何破解密码的工具都将是徒劳的。(超级加密?:)即使他 知道你改了扩展名,也不容易一下子猜出原来的正确名称,目前也没有用穷举法可以尝试不同扩展名的工具来破解。
要注意不要把扩展名改成和原来文件同类或格式兼容性相差无几的名称,比如MP3改成MP2,JPEG改成BMP是没什么用的,winamp和ACDSEE会照常打开该文件,因为不少工具软件内含了识别自己特定类文件不同版本和格式的功能;这样也容易与其他正常使用的文件混淆――改用越不规范、越特别的扩展名越好,也让您一眼就知道那是你自己的杰作。
这种“加密”的方法还有个好处是你不用记忆任何密码,只要知道这文件原来是什么内容的,自然就能把它轻易恢复到正确的扩展名来编辑(右击该文件,选择重命名;或是在DOS状态下用REN命令即可,DOS下改名最快捷),健忘的人可以尝试一下。当然,这只是权宜之计,高手和有心人还是能识破此类方法,真正重要的东西还是要用专门的工具加密;但这种方法可以把很多入门的菜鸟和只是好奇、无心恶意侵入的人拒之门外,也算是个行之有效的数据安全助手。
怎么样,您没想到自己从来没留意过的文件扩展名会有这么多名堂吧?使用电脑时多动点脑子,您也会发现很多不为人知的技巧。 |
|
公安备案号:42011102001150
IP卡
狗仔卡
发表于 2008-8-18 07:31:49
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
转播
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2011-8-2 18:37:47
