午夜精品福利视频,亚洲激情专区,免费看a网站,aa毛片,亚洲色图激情小说,亚洲一级毛片,免费一级毛片一级毛片aa

別掉進(jìn)危險(xiǎn)的文件陷阱網(wǎng)站安全 -電腦資料

電腦資料 時(shí)間:2019-01-01 我要投稿
【www.stanzs.com - 電腦資料】

   

    適合讀者:入侵愛好者、普通網(wǎng)民

    前置知識(shí):無

    別掉進(jìn)危險(xiǎn)的文件陷阱

    適合讀者:入侵愛好者、普通網(wǎng)民

    前置知識(shí):無

    別掉進(jìn)危險(xiǎn)的文件陷阱

    文/圖 彭文波

    也許在不知不覺中,我們就打開了一個(gè)“readme.txt”或者一個(gè).bat批處理文件,你能保證這些文件絕對(duì)安全嗎?類似的,在.hlp(幫助文件)、.pif(指向DOS的快捷方式)、.lnk(Windows快捷方式)等文件中,也存在著同樣的危險(xiǎn),一不小心,我們就有可能掉入這些文件的陷阱,

別掉進(jìn)危險(xiǎn)的文件陷阱網(wǎng)站安全

。對(duì)于身經(jīng)百戰(zhàn)的用戶來說,雖然有些文件很容易判斷,而其它一些帶有“陷阱”的文件就不容易判斷了。下面,我們來看看其中的一些典型文件陷阱。

偷梁換柱:從HTML網(wǎng)頁文件談起

    HTML文件應(yīng)該是我們見的最多的文件了,不過“樹大招風(fēng)”,HTML也是最危險(xiǎn)的文件格式之一,它有一個(gè)調(diào)用外部對(duì)象腳本運(yùn)行的功能,能給用戶造成了很大的麻煩。

    1.HTML文件的關(guān)聯(lián)

    下面,我們來看一個(gè)普通的例子。現(xiàn)在,我們的郵件里面有一個(gè)看起來是這樣的文件:“機(jī)密文件.txt”,我們能肯定它就是純文本文件嗎?實(shí)際上,它的文件名可能“機(jī)密文件.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。而后面的這個(gè)后綴就很有學(xué)問了,“{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”在注冊(cè)表里就是HTML文件關(guān)聯(lián)的意思,等同于“機(jī)密文件.txt.html”。雙擊它,就會(huì)調(diào)用HTML來運(yùn)行,說不定已經(jīng)開始在后臺(tái)格式化D盤了。

    2.WScript與文件陷阱

    談到上述文件的危害,我們就要談到WScript了。在Windows Scripting Host腳本環(huán)境里,通過它自帶的幾個(gè)內(nèi)置對(duì)象,可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊(cè)表等功能。下面我們通過如下的*.vbs文件來說明:

    Set so=CreateObject("Scripting.FileSystemObject")

    so.GetFile(c:.exe).Copy("e:.exe")

    小知識(shí):WScript的全稱是“Windows Scripting Host”,它所對(duì)應(yīng)的程序“WScript.exe”是一個(gè)腳本語言解釋器,位于C:\WINNT\system32,正是它使得腳本可以被執(zhí)行,效果和執(zhí)行批處理一樣。

    我們來詳細(xì)分析一下上述代碼,它可以拷貝文件到指定地點(diǎn)。第一行是創(chuàng)建一個(gè)文件系統(tǒng)對(duì)象,第二行前面是打開這個(gè)腳本文件,“c:.exe”是指明這個(gè)程序本身,是一個(gè)完整的路徑文件名。GetFile函數(shù)獲得這個(gè)文件,Copy函數(shù)將這個(gè)文件復(fù)制到E盤根目錄下。這也是大多數(shù)VBscript病毒的一個(gè)特點(diǎn),它們?cè)谄茐倪^程中幾乎無聲無息,運(yùn)行它們時(shí)沒有任何提示,可謂是“隨風(fēng)潛入夜,潤(rùn)物細(xì)無聲”。

    3.識(shí)別及防范方法

    可以看出,禁止相關(guān)對(duì)象就可以很有效地控制這種代碼的傳播。用“Regsvr32 scrrun.dll /u”這條命令就可以禁止文件系統(tǒng)對(duì)象,此外,在Windows 2000下,雙擊“我的電腦”圖標(biāo),然后執(zhí)行“工具/文件夾選項(xiàng)”命令,選擇“文件類型”選項(xiàng)卡,找到“VBS VBScript. Script. File”選項(xiàng),并單擊[刪除]按鈕,最后單擊[確定]即可。如圖1所示。

   

    圖1

    另外,還可以升級(jí)WSH 5.6以防止IE瀏覽器被惡意腳本修改,就是因?yàn)镮E 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數(shù)以及Htmlfilr ActiveX對(duì)象讀取瀏覽者的注冊(cè)表,可以在www.microsoft.com下載最新版本的WSH。

天外來客:OutLook中的陷阱文件

    1.典型陷阱郵件分析

    在Outlook中,我們很容易收到經(jīng)過改頭換面的OLE(Object Linking and Embedding,對(duì)象鏈接與嵌入)對(duì)象,和上面的HTML文件類似,它并不是真正的郵件附件。下面是一個(gè)很典型的例子:

    步驟1:打開OutLook2000,新建一個(gè)郵件,

電腦資料

別掉進(jìn)危險(xiǎn)的文件陷阱網(wǎng)站安全》(http://www.stanzs.com)。選擇“格式” 菜單下的“帶格式文本”,在郵件正文點(diǎn)擊鼠標(biāo)左鍵。然后,選擇 “插入” 菜單下的“對(duì)象”,選擇“由文件創(chuàng)建”后的“瀏覽”,F(xiàn)在,可以選擇Windows目錄下的Notepad.exe,點(diǎn)擊“確定”,在新郵件主體部分就會(huì)出現(xiàn)圖標(biāo)。

    步驟2:在圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵,選擇“編輯包”,打開對(duì)象包裝程序,選擇“插入圖標(biāo)”按鈕,選擇“瀏覽”。以Windows 2000為例,選擇C:\winnt\system\shell32.dll,在當(dāng)前圖標(biāo)框中選擇一個(gè)你想要的圖標(biāo),比方說選擇一個(gè)文本文件的圖標(biāo),“確定”,然后選擇菜單“編輯”→“卷標(biāo)”,任意定義一個(gè)名字,比方說readme.txt,點(diǎn)擊“確定”。如圖2所示。

   

    圖2

    步驟3:退出對(duì)象包裝程序,在提示是否更新時(shí)選擇“是”,F(xiàn)在出現(xiàn)的是Readme.txt,一般人會(huì)認(rèn)為它是一個(gè)地地道道的文本文件附件。雙擊這個(gè)圖標(biāo),如果它是一個(gè)病毒文件,后果可想而知,而這種情況十分常見。如圖3所示。

   

    圖3

    事實(shí)上,當(dāng)你用OutLook2000收到這樣一個(gè)郵件時(shí),它會(huì)顯示這是一個(gè)帶附件的郵件,當(dāng)你以為它是一個(gè)文本文件附件雙擊打開時(shí),OutLook會(huì)提示對(duì)象攜帶病毒,并可能對(duì)計(jì)算機(jī)造成危害,因此,請(qǐng)確保該對(duì)象來源可靠。

    2.陷阱郵件防范之道

    實(shí)際防范的過程中,我們需要明白:它其實(shí)是一個(gè)OLE對(duì)象,并不是附件。雙擊打開它時(shí),安全提示與附件的安全提示不同,這點(diǎn)非常重要。在選擇“文件”→“保存附件”時(shí)并無對(duì)話框出現(xiàn)。

    小提示:由于并非所有的郵件收發(fā)軟件都支持對(duì)象嵌入,所以這類郵件的格式不一定被某些軟件識(shí)別,如OutLook Express。但是OutLook的使用面很廣,因此有必要小心行事。

瞞天過海:SHS碎片文件及防范

    這種情形比較常見:雙擊打開某個(gè)文本文件時(shí),系統(tǒng)會(huì)閃過一個(gè)DOS窗口,然后聽到硬盤不停地讀寫,這就有可能是.shs文件了。

    1.SHS文件陷阱的基礎(chǔ)知識(shí)

    SHS文件是一類特殊的OLE(Object Linking and Embedding,對(duì)象連接和嵌入)對(duì)象,可以由Word文檔或Excel電子表格創(chuàng)建。也就是說,我們所輸入的命令作為OLE對(duì)象嵌入到對(duì)象包裝程序新建的文件中了,當(dāng)你在不同文件間復(fù)制對(duì)象時(shí),Windows是將對(duì)象包裝成一個(gè)碎片對(duì)象來進(jìn)行復(fù)制的。因此,一旦我們不是在文件間進(jìn)行復(fù)制粘貼,而是直接將碎片對(duì)象粘貼到硬盤上,就會(huì)產(chǎn)生一個(gè).SHS文件。這個(gè)碎片對(duì)象文件保存了原來對(duì)象的所具備的功能,原來對(duì)象包含的命令同樣會(huì)被解析執(zhí)行,這正是其可怕之處!如果在該文件中含有諸如“Format”之類的命令將非?膳!

    2.關(guān)于陷阱文件的具體實(shí)例

    那么,碎片對(duì)象到底對(duì)用戶的計(jì)算機(jī)會(huì)造成什么威脅呢?

    步驟1:在硬盤上創(chuàng)建一個(gè)Readme.txt,然后我們來制作一個(gè)能刪除這個(gè)測(cè)試文件的碎片對(duì)象文件。先運(yùn)行c:/winnt/system32下的對(duì)象包裝程序Packager.exe。新建一個(gè)文件后,打開 “文件” 菜單下的“導(dǎo)入”,這時(shí)會(huì)彈出一個(gè)文件對(duì)話框,讓你選擇一個(gè)文件。不用考慮,隨便選擇一個(gè)文件就可以了。

    步驟2:然后打開“編輯”菜單下的“命令行”選項(xiàng),在彈出的命令行輸入對(duì)話框中輸入“cmd.exe /c del d:\readme.txt”,點(diǎn)“確定”。然后在菜單中選擇“編輯”→“復(fù)制數(shù)據(jù)包”,如圖4所示。

   

    圖4

    接著,在桌面上點(diǎn)擊鼠標(biāo)右鍵,在彈出菜單中選擇“粘貼”,這時(shí)我們可以看到在桌面創(chuàng)建了一個(gè)碎片對(duì)象文件。雙擊后,CMD窗口一閃而過后,再到D盤看看,測(cè)試文件D:\readme.txt已經(jīng)被刪除了!如果這條命令是Format之類的危險(xiǎn)命令,后果可想而知。

    3.SHS文件的防范方法

    碎片文件的圖標(biāo)和文本文件圖標(biāo)很相似,不過我們可以從注冊(cè)表中設(shè)置使SHS文件的擴(kuò)展名顯現(xiàn)出來。運(yùn)行注冊(cè)表編輯器Regedit.exe,在HKEY_CLASSES_ROOT\.shs主鍵下,將默認(rèn)值ShellScrap刪除,現(xiàn)在雙擊.SHS文件就不會(huì)執(zhí)行了。如圖5所示。

   

    圖5

    隨著病毒文件和惡意文件的不斷演變,五花八門的文件陷阱也越來越多,這就需要我們?cè)谄綍r(shí)多多留心,了解其運(yùn)行機(jī)制,從而避免掉入這些危害極大的陷阱中。

最新文章