當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 河北O(jiān)A系統(tǒng) > 石家莊OA系統(tǒng) > 石家莊OA快博
警惕網(wǎng)絡(luò)安全隱性殺手
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
來源:泛普軟件 假如您收到的郵件附件中有一個(gè)看起來是這樣的文件:QQ 放送.txt,您是不是認(rèn)為它肯定是純文本文件?我要告訴您,不一定!它的實(shí)際文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊(cè)表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時(shí)候它并 不會(huì)顯現(xiàn)出來,您看到的就是個(gè).txt文件,這個(gè)文件實(shí)際上等同于QQ 放送.txt.html。那么直接打開這個(gè)文件為什么有危險(xiǎn)呢?請(qǐng)看如果這個(gè)文件的內(nèi)容如下:
您可能以為它會(huì)調(diào)用記事本來運(yùn)行,可是如果您雙擊它,結(jié)果它卻調(diào)用了HTML來運(yùn)行,并且自動(dòng)在后臺(tái)開始格式化D盤,同時(shí)顯示“Windows正在配置系統(tǒng)。Plase不打斷這個(gè)過程?!边@樣一個(gè)對(duì)話框來欺騙您。您看隨意打開附件中的.txt的危險(xiǎn)夠大了吧?
欺騙實(shí)現(xiàn)原理:當(dāng)您雙擊這個(gè)偽裝起來的.txt時(shí)候,由于真正文件擴(kuò)展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就會(huì)以html文件的形式運(yùn)行,這是它能運(yùn)行起來的先決條件。
文件內(nèi)容中的第2和第 3行是它能夠產(chǎn)生破壞作用的關(guān)鍵所在。其中第3行是破壞行動(dòng)的執(zhí)行者,在其中可以加載帶有破壞性質(zhì)的命令。那么第 2行又是干什么的呢?您可能已經(jīng)注意到了第 2行里的“Ws cript”,對(duì)!就是它導(dǎo)演了全幕,它是幕后主謀!
Ws cript全稱Windows s cripting主人,它是Win98中新加進(jìn)的功能,是一種批次語言/自動(dòng)執(zhí)行工具——它所對(duì)應(yīng)的程序“Ws cript.exe”是一個(gè)腳本語言解釋器,位于c:WINDOWS下,正是它使得腳本可以被執(zhí)行,就象執(zhí)行批處理一樣。在Windowss cripting主人腳本環(huán)境里,預(yù)定義了一些對(duì)象,通過它自帶的幾個(gè)內(nèi)置對(duì)象,可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊(cè)表等功能。
識(shí)別及防范方法:
①這種帶有欺騙性質(zhì)的.txt文件顯示出來的并不是文本文件的圖標(biāo),它顯示的是未定義文件類型的標(biāo)志,這是區(qū)分它與正常TXT文件的最好方法。
②識(shí)別的另一個(gè)辦法是在“按網(wǎng)頁方式”查看時(shí)在“我的電腦”左面會(huì)顯示出其文件名全稱(如圖 1),此時(shí)可以看到它不是真正的TXT文件。問題是很多初學(xué)者經(jīng)驗(yàn)不夠,老手也可能因?yàn)闆]留意而打開它,在這里再次提醒您,注意您收到的郵件中附件的文件名,不僅要看顯示出來的擴(kuò)展名,還要注意其實(shí)際顯示的圖標(biāo)是什么。
③對(duì)于附件中別人發(fā)來的看起來是TXT的文件,可以將它下載后用鼠標(biāo)右鍵選擇“用記事本打開”,這樣看會(huì)很安全。
二。 惡意碎片文件
另一類可怕的TXT文件是一種在Windows中被稱作“碎片對(duì)象”(擴(kuò)展名為“噓”)的文件,它一般被偽裝成文本文件通過電子郵件附件來傳播,比方說,這個(gè)樣子:QQ號(hào)碼放送.txt.shs,由于真正地后綴名“噓”不會(huì)顯示出來,如果在該文件中含有諸如“形式”之類的命令將非常可怕!不僅如此,以下四點(diǎn)原因也是其有一定危害性的原因:
①碎片對(duì)象文件的缺省圖標(biāo)是一個(gè)和記事本文件圖標(biāo)相類似的圖標(biāo),很容易會(huì)被誤認(rèn)為是一些文本的文檔,用戶對(duì)它的警惕心理準(zhǔn)備不足。
②在Windows的默認(rèn)狀態(tài)下,“碎片對(duì)象”文件的擴(kuò)展名(“.噓”)是隱藏的,即使你在“資源管理器”→“工具”→“文件夾選項(xiàng)”→“查看”中,把“隱藏已知文件類型的擴(kuò)展名”前面的“√”去掉,“.噓”也還是隱藏的,這是因?yàn)閃indows支持雙重?cái)U(kuò)展名,如“QQ號(hào)碼放送.txt.shs”顯示出來的名稱永遠(yuǎn)是“QQ號(hào)碼放送.txt”。
③即使有疑心,你用任何殺毒軟件都不會(huì)找到這個(gè)文件的一點(diǎn)問題,因?yàn)檫@個(gè)文件本身就沒有病毒,也不是可執(zhí)行的,而且還是系統(tǒng)文件。你會(huì)懷疑這樣的文件嗎?
④這種噓附件病毒制造起來非常容易,5分鐘就可以學(xué)會(huì),也不需要編程知識(shí)(格式化C盤的命令:“形式c:”大家都知道吧^ _ ^)。
1、 具體實(shí)例
那么,碎片對(duì)象到底對(duì)用戶的計(jì)算機(jī)會(huì)造成什么威脅呢?我們一起來作個(gè)測試就明白了。以下測試環(huán)境是在Windows 2000服務(wù)器中文版上進(jìn)行的。我們先在硬盤上創(chuàng)建一個(gè)測試用的文件test.txt(我創(chuàng)建的位置是D:test.txt),然后我們來制作一個(gè)能刪除這個(gè)測試文件的碎片對(duì)象文件。
①先運(yùn)行一個(gè)對(duì)象包裝程序(packager.exe),我的Win2000服務(wù)者安裝在/winnt/system32下。
②新建一個(gè)文件后,打開菜單“文件”→“導(dǎo)入”,這時(shí)會(huì)彈出一個(gè)文件對(duì)話框,讓你選擇一個(gè)文件。不用考慮,隨便選擇一個(gè)文件就可以了。
③然后打開“編輯”→“命令行”,在彈出的命令行輸入對(duì)話框中輸入“cmd.exe /c del d:test.txt”,點(diǎn)“確定”。
④然后,在菜單中選擇“編輯”→“復(fù)制數(shù)據(jù)包”。
⑤接著,隨便在硬盤上找個(gè)地方,我就直接在桌面上了。在桌面上點(diǎn)擊鼠標(biāo)右鍵,在彈出菜單中選擇“粘貼”,這時(shí)我們可以看到在桌面創(chuàng)建了一個(gè)碎片對(duì)象文件。
現(xiàn)在我們可以雙擊一下這個(gè)文件,CMD窗口一閃而過后,再到D盤看看,測試文件D:test.txt已經(jīng)被刪除了!現(xiàn)在你該知道了,當(dāng)時(shí)在對(duì)象包裝中輸入地命令被執(zhí)行了。好危險(xiǎn)啊,如果這條命令是要?jiǎng)h除系統(tǒng)中的一個(gè)重要文件,或者是格式化命令形式之類的危險(xiǎn)命令,那該有多么的可怕!
下面讓我們一起來看看這個(gè)“隱身殺手”的真正面目吧!
2、 技術(shù)原理
依照微軟的解釋,噓文件是一類特殊的對(duì)象鏈接與嵌入(對(duì)象鏈接與嵌入,對(duì)象連接和嵌入)對(duì)象,可以由詞文檔或優(yōu)秀電子表格創(chuàng)建。通過選擇文檔中文本或圖像的一塊區(qū)域,然后拖放該區(qū)域到桌面上的某處,就可以創(chuàng)建一個(gè)Windows碎片對(duì)象,或稱為噓文件(此文件是不可讀文件)。但是你可以用任何其它你想要的文件名重新命名噓文件,或者拖放噓對(duì)象到另一個(gè)文檔(同樣地,你可以剪切和粘貼)。
也就是說,我們所輸入的命令作為對(duì)象鏈接與嵌入對(duì)象嵌入到對(duì)象包裝程序新建的文件中了, 而微軟為了能方便的將嵌入到文件的對(duì)象進(jìn)行復(fù)制,使用了一種技術(shù)殼廢料賓語(簡稱噓),就是說,當(dāng)你在不同文件間復(fù)制對(duì)象時(shí),Windows是將對(duì)象包裝成一個(gè)碎片對(duì)象來進(jìn)行復(fù)制的。因此,一旦我們不是在文件間進(jìn)行復(fù)制粘貼,而是直接將碎片對(duì)象粘貼到硬盤上,就會(huì)產(chǎn)生一個(gè).噓文件。這個(gè)碎片對(duì)象文件保存了原來對(duì)象的所具備的功能,原來對(duì)象包含的命令同樣會(huì)被解析執(zhí)行,這正是其可怕這處!3、防范方法
(1)“野蠻”法
噓文件既然不是可執(zhí)行文件,當(dāng)然需要其他的程序來解析執(zhí)行了,我們?nèi)サ艚馕鰣?zhí)行的關(guān)聯(lián)就可以簡單防止這種文件中潛伏的威脅了。 運(yùn)行注冊(cè)表編輯器regedit.exe,在HKEY_CLASSES_ROOT.shs主鍵下,將默認(rèn)值ShellScrap刪除,現(xiàn)在雙擊.噓文件,看,不會(huì)執(zhí)行了吧?彈出了一個(gè)對(duì)話框,讓我們選擇打開.噓文件需要的程序,此時(shí)你選擇“記事本”程序看就非常安全了。 更徹底一點(diǎn)的辦法是將HKEY_CLASSES_ROOTShellScrapshellopencommand下的打開.噓文件的關(guān)聯(lián)完全去掉,現(xiàn)在雙擊.噓文件,連選擇運(yùn)行程序的對(duì)話框也不出現(xiàn)了,它會(huì)直接要求在控制面板重建文件關(guān)聯(lián)。
(2)“文明”法
①在注冊(cè)表編輯器HEY_CLASSES_ROOTShellScrap鍵下,有一個(gè)鍵值“NeverShowExt”,它是導(dǎo)致“.噓”文件擴(kuò)展名無法顯示的罪魁禍?zhǔn)住h除這個(gè)鍵值,你就可以看到“.噓”擴(kuò)展名了。
②更換“碎片對(duì)象”文件的默認(rèn)圖標(biāo)。由于碎片對(duì)象文件的默認(rèn)圖標(biāo)與文本文件圖標(biāo)非常相似,容易麻痹人,所以我們要更換它的圖標(biāo)。打開資源管理器,選中“查看”菜單下的“文件夾選框”,在彈出的對(duì)話框中選擇“文件類型”標(biāo)簽,在“已注冊(cè)的文件類型”下找到“碎片對(duì)象”。單擊右上角“編輯”按鈕,在打開的“編輯文件類型” 對(duì)話框中單擊上邊的“更改圖標(biāo)”按鈕。打開C:WINDOWSSYSTEMPifmgr.dll,從出現(xiàn)的圖標(biāo)中選一個(gè)作為“.噓”文件的新圖標(biāo)即可。
(3)更多防治手段
①如果是病毒文件隱藏了其真實(shí)擴(kuò)展名“噓”,而你在反病毒軟件中設(shè)置成掃描指定程序文件、而不是掃描所有文件(如只掃描可執(zhí)行文件),那么反病毒軟件是無法發(fā)現(xiàn)病毒的,所以請(qǐng)?jiān)诜床《拒浖闹付ǔ绦蛭募屑尤搿?噓”文件的掃描。各種防病毒軟件的設(shè)置大同小異,比較簡單,請(qǐng)大家自己進(jìn)行設(shè)置。
②禁止“碎片對(duì)象”文件及“指向文檔的快捷方式”文件。
三。改頭換面的視野郵件附件
除了上面所說的兩類危險(xiǎn)的“TXT”文件,還存在另一種危險(xiǎn)的“TXT”文件——改頭換面的視野郵件附件!即一個(gè)看起來是TXT的文件其實(shí)是個(gè)EXE文件!下面我以O(shè)utLook2000簡體中文版為例進(jìn)行詳細(xì)說明。
1. 開啟OutLook2000,新建一個(gè)郵件,選擇菜單欄中的“格式”→“帶格式文本”,在郵件正文點(diǎn)擊一下鼠標(biāo)左鍵,選擇菜單“插入”→“對(duì)象”,點(diǎn)擊“由文件創(chuàng)建”→“瀏覽”,選擇Windows目錄下的notepad.exe,點(diǎn)擊“確定”,在新郵件的主體部分出現(xiàn)notepad.exe及其圖標(biāo)。
2. 在剛出現(xiàn)的notepad.exe及其圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵,選擇“編輯包”,打開對(duì)象包裝程序,選擇“插入圖標(biāo)”按鈕,選擇“瀏覽”,選擇WINDOWSSYSTEMSHELL32.DLL,在當(dāng)前圖標(biāo)框中選擇一個(gè)你想要的圖標(biāo),比方說選擇一個(gè)文本文件的圖標(biāo),然后按“確定”。然后選擇菜單“編輯”→“卷標(biāo)”,任意定義一個(gè)名字,比方說hello.txt,點(diǎn)擊“確定”。
3. 退出對(duì)象包裝程序,在提示是否更新時(shí)選擇“是”。
4. 好,現(xiàn)在出現(xiàn)在面前的是hello.txt,一般人會(huì)認(rèn)為它是一個(gè)地地道道的文本文件附件,相信沒有人懷疑它是別的東西。請(qǐng)你雙擊這個(gè)圖表,看看會(huì)發(fā)生什么?是不是發(fā)現(xiàn)它打開的是notepad.exe!如果它是一個(gè)病毒文件,結(jié)果可想而知!
事實(shí)上,當(dāng)你用OutLook2000收到這樣一個(gè)郵件時(shí),它會(huì)顯示這是一個(gè)帶附件的郵件,當(dāng)你以為它是一個(gè)文本文件附件雙擊打開時(shí),視野會(huì)提示:部分對(duì)象攜帶病毒,可能對(duì)你的計(jì)算機(jī)造成危害,因此,請(qǐng)確保該對(duì)象來源可*。是否相信該嵌入對(duì)象?安全觀念強(qiáng)的人一般會(huì)選擇“不”(這就對(duì)了),一般的人可能會(huì)選擇是(你慘了!)。
識(shí)別方法:不要怕,盡管它的迷惑性極大,但是仍然會(huì)露出一些馬腳:
1. 它其實(shí)是一個(gè)對(duì)象鏈接與嵌入對(duì)象,并不是附件,選擇它時(shí),選擇框會(huì)不同于選擇附件的選擇框。點(diǎn)鼠標(biāo)右鍵出現(xiàn)的菜單不同。
2. 雙擊打開它時(shí),安全提示與附件的安全提示不同,這點(diǎn)非常重要。這時(shí),應(yīng)該選擇“不”,然后點(diǎn)擊鼠標(biāo)右鍵,選擇“編輯包”,提示是否信任該對(duì)象時(shí)選擇“是”,在對(duì)象包裝程序的右邊內(nèi)容框中,將現(xiàn)出原形。在本例中,會(huì)顯示“NOTEPAD.EXE的備份”,文件是否可執(zhí)行,關(guān)鍵在這里。
3. 因?yàn)樗皇歉郊谶x擇“文件”→“保存附件”時(shí)并無對(duì)話框出現(xiàn)。
4. 由于并不是所有的郵件收發(fā)軟件都支持對(duì)象嵌入,所以這類郵件的格式不一定被某些軟件識(shí)別,如OutLook Express。但是視野的使用面很廣,尤其是在比較大的、有自己郵件服務(wù)器的公司,所以還是有必要提醒大家小心嵌入對(duì)象,不光是視野,其實(shí)詞、優(yōu)秀等支持嵌入對(duì)象的軟件可以讓嵌入對(duì)象改頭換面以迷惑人。(techtarget)
- 1商務(wù)智能企業(yè)的慧眼
- 2數(shù)據(jù)倉庫應(yīng)用行業(yè)有別
- 3軟件測試管理常見問題
- 4供需雙方是突破ASP發(fā)展瓶頸的關(guān)鍵
- 5管理網(wǎng)絡(luò)需要哪些要素
- 6怎樣管理您的秘碼
- 7企業(yè)如何將IT環(huán)境向下一代數(shù)據(jù)中心轉(zhuǎn)換
- 8國外服務(wù)器整合應(yīng)用三例
- 9信息安全成中小企業(yè)的阿喀琉斯之踵
- 10中小企業(yè)需要適用的本地服務(wù)商
- 11將企業(yè)聲望管理納入日程
- 12寶島眼鏡信息化怎么做
- 13IPTV成功部署的關(guān)鍵技術(shù)
- 14怎樣挖掘供應(yīng)鏈協(xié)同網(wǎng)絡(luò)的潛能
- 15易經(jīng)與售前顧問之道
- 16如何構(gòu)建分支機(jī)構(gòu)基礎(chǔ)設(shè)施
- 17分銷應(yīng)如何進(jìn)入行業(yè)市場
- 18中小制造企業(yè)創(chuàng)造新的競爭優(yōu)勢
- 19如何備份服務(wù)器常見服務(wù)
- 20怎樣實(shí)現(xiàn)容量管理與ITIL的結(jié)合
- 21VoIP在企業(yè)應(yīng)用中的五大要點(diǎn)
- 22OA輕松實(shí)現(xiàn)車輛調(diào)度管理、費(fèi)用管理
- 23變更管理技術(shù)應(yīng)用解析
- 24Linux版中小企業(yè)管理軟件適用嗎?
- 25網(wǎng)絡(luò)管理案例研究-英國自然歷史博物館
- 26戳到軟肋,還得偷著樂
- 27從客戶數(shù)據(jù)管理(CDM)中得到投資回報(bào)
- 28小企業(yè)網(wǎng)上交流平臺(tái)怎么架
- 295步邁向戰(zhàn)略性IT管理
- 30如何管好多個(gè)IT外包項(xiàng)目?(下)
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓