久久99热66热这里只有精品,特黄特色的大片在线观看,亚洲日本三级在线观看,国产三级农村妇女在线,亚洲av毛片免费在线观看,哺乳叫自慰在线看,天天干美女av网

別掉進危險的文件陷阱網(wǎng)站安全 -電腦資料

電腦資料 時間:2019-01-01 我要投稿
【m.dameics.com - 電腦資料】

   

    適合讀者:入侵愛好者、普通網(wǎng)民

    前置知識:無

    別掉進危險的文件陷阱

    適合讀者:入侵愛好者、普通網(wǎng)民

    前置知識:無

    別掉進危險的文件陷阱

    文/圖 彭文波

    也許在不知不覺中,我們就打開了一個“readme.txt”或者一個.bat批處理文件,你能保證這些文件絕對安全嗎?類似的,在.hlp(幫助文件)、.pif(指向DOS的快捷方式)、.lnk(Windows快捷方式)等文件中,也存在著同樣的危險,一不小心,我們就有可能掉入這些文件的陷阱,

別掉進危險的文件陷阱網(wǎng)站安全

。對于身經(jīng)百戰(zhàn)的用戶來說,雖然有些文件很容易判斷,而其它一些帶有“陷阱”的文件就不容易判斷了。下面,我們來看看其中的一些典型文件陷阱。

偷梁換柱:從HTML網(wǎng)頁文件談起

    HTML文件應(yīng)該是我們見的最多的文件了,不過“樹大招風(fēng)”,HTML也是最危險的文件格式之一,它有一個調(diào)用外部對象腳本運行的功能,能給用戶造成了很大的麻煩。

    1.HTML文件的關(guān)聯(lián)

    下面,我們來看一個普通的例子,F(xiàn)在,我們的郵件里面有一個看起來是這樣的文件:“機密文件.txt”,我們能肯定它就是純文本文件嗎?實際上,它的文件名可能“機密文件.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。而后面的這個后綴就很有學(xué)問了,“{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”在注冊表里就是HTML文件關(guān)聯(lián)的意思,等同于“機密文件.txt.html”。雙擊它,就會調(diào)用HTML來運行,說不定已經(jīng)開始在后臺格式化D盤了。

    2.WScript與文件陷阱

    談到上述文件的危害,我們就要談到WScript了。在Windows Scripting Host腳本環(huán)境里,通過它自帶的幾個內(nèi)置對象,可以實現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊表等功能。下面我們通過如下的*.vbs文件來說明:

    Set so=CreateObject("Scripting.FileSystemObject")

    so.GetFile(c:.exe).Copy("e:.exe")

    小知識:WScript的全稱是“Windows Scripting Host”,它所對應(yīng)的程序“WScript.exe”是一個腳本語言解釋器,位于C:\WINNT\system32,正是它使得腳本可以被執(zhí)行,效果和執(zhí)行批處理一樣。

    我們來詳細(xì)分析一下上述代碼,它可以拷貝文件到指定地點。第一行是創(chuàng)建一個文件系統(tǒng)對象,第二行前面是打開這個腳本文件,“c:.exe”是指明這個程序本身,是一個完整的路徑文件名。GetFile函數(shù)獲得這個文件,Copy函數(shù)將這個文件復(fù)制到E盤根目錄下。這也是大多數(shù)VBscript病毒的一個特點,它們在破壞過程中幾乎無聲無息,運行它們時沒有任何提示,可謂是“隨風(fēng)潛入夜,潤物細(xì)無聲”。

    3.識別及防范方法

    可以看出,禁止相關(guān)對象就可以很有效地控制這種代碼的傳播。用“Regsvr32 scrrun.dll /u”這條命令就可以禁止文件系統(tǒng)對象,此外,在Windows 2000下,雙擊“我的電腦”圖標(biāo),然后執(zhí)行“工具/文件夾選項”命令,選擇“文件類型”選項卡,找到“VBS VBScript. Script. File”選項,并單擊[刪除]按鈕,最后單擊[確定]即可。如圖1所示。

   

    圖1

    另外,還可以升級WSH 5.6以防止IE瀏覽器被惡意腳本修改,就是因為IE 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數(shù)以及Htmlfilr ActiveX對象讀取瀏覽者的注冊表,可以在www.microsoft.com下載最新版本的WSH。

天外來客:OutLook中的陷阱文件

    1.典型陷阱郵件分析

    在Outlook中,我們很容易收到經(jīng)過改頭換面的OLE(Object Linking and Embedding,對象鏈接與嵌入)對象,和上面的HTML文件類似,它并不是真正的郵件附件。下面是一個很典型的例子:

    步驟1:打開OutLook2000,新建一個郵件,

電腦資料

別掉進危險的文件陷阱網(wǎng)站安全》(http://m.dameics.com)。選擇“格式” 菜單下的“帶格式文本”,在郵件正文點擊鼠標(biāo)左鍵。然后,選擇 “插入” 菜單下的“對象”,選擇“由文件創(chuàng)建”后的“瀏覽”。現(xiàn)在,可以選擇Windows目錄下的Notepad.exe,點擊“確定”,在新郵件主體部分就會出現(xiàn)圖標(biāo)。

    步驟2:在圖標(biāo)上點擊鼠標(biāo)右鍵,選擇“編輯包”,打開對象包裝程序,選擇“插入圖標(biāo)”按鈕,選擇“瀏覽”。以Windows 2000為例,選擇C:\winnt\system\shell32.dll,在當(dāng)前圖標(biāo)框中選擇一個你想要的圖標(biāo),比方說選擇一個文本文件的圖標(biāo),“確定”,然后選擇菜單“編輯”→“卷標(biāo)”,任意定義一個名字,比方說readme.txt,點擊“確定”。如圖2所示。

   

    圖2

    步驟3:退出對象包裝程序,在提示是否更新時選擇“是”,F(xiàn)在出現(xiàn)的是Readme.txt,一般人會認(rèn)為它是一個地地道道的文本文件附件。雙擊這個圖標(biāo),如果它是一個病毒文件,后果可想而知,而這種情況十分常見。如圖3所示。

   

    圖3

    事實上,當(dāng)你用OutLook2000收到這樣一個郵件時,它會顯示這是一個帶附件的郵件,當(dāng)你以為它是一個文本文件附件雙擊打開時,OutLook會提示對象攜帶病毒,并可能對計算機造成危害,因此,請確保該對象來源可靠。

    2.陷阱郵件防范之道

    實際防范的過程中,我們需要明白:它其實是一個OLE對象,并不是附件。雙擊打開它時,安全提示與附件的安全提示不同,這點非常重要。在選擇“文件”→“保存附件”時并無對話框出現(xiàn)。

    小提示:由于并非所有的郵件收發(fā)軟件都支持對象嵌入,所以這類郵件的格式不一定被某些軟件識別,如OutLook Express。但是OutLook的使用面很廣,因此有必要小心行事。

瞞天過海:SHS碎片文件及防范

    這種情形比較常見:雙擊打開某個文本文件時,系統(tǒng)會閃過一個DOS窗口,然后聽到硬盤不停地讀寫,這就有可能是.shs文件了。

    1.SHS文件陷阱的基礎(chǔ)知識

    SHS文件是一類特殊的OLE(Object Linking and Embedding,對象連接和嵌入)對象,可以由Word文檔或Excel電子表格創(chuàng)建。也就是說,我們所輸入的命令作為OLE對象嵌入到對象包裝程序新建的文件中了,當(dāng)你在不同文件間復(fù)制對象時,Windows是將對象包裝成一個碎片對象來進行復(fù)制的。因此,一旦我們不是在文件間進行復(fù)制粘貼,而是直接將碎片對象粘貼到硬盤上,就會產(chǎn)生一個.SHS文件。這個碎片對象文件保存了原來對象的所具備的功能,原來對象包含的命令同樣會被解析執(zhí)行,這正是其可怕之處!如果在該文件中含有諸如“Format”之類的命令將非?膳!

    2.關(guān)于陷阱文件的具體實例

    那么,碎片對象到底對用戶的計算機會造成什么威脅呢?

    步驟1:在硬盤上創(chuàng)建一個Readme.txt,然后我們來制作一個能刪除這個測試文件的碎片對象文件。先運行c:/winnt/system32下的對象包裝程序Packager.exe。新建一個文件后,打開 “文件” 菜單下的“導(dǎo)入”,這時會彈出一個文件對話框,讓你選擇一個文件。不用考慮,隨便選擇一個文件就可以了。

    步驟2:然后打開“編輯”菜單下的“命令行”選項,在彈出的命令行輸入對話框中輸入“cmd.exe /c del d:\readme.txt”,點“確定”。然后在菜單中選擇“編輯”→“復(fù)制數(shù)據(jù)包”,如圖4所示。

   

    圖4

    接著,在桌面上點擊鼠標(biāo)右鍵,在彈出菜單中選擇“粘貼”,這時我們可以看到在桌面創(chuàng)建了一個碎片對象文件。雙擊后,CMD窗口一閃而過后,再到D盤看看,測試文件D:\readme.txt已經(jīng)被刪除了!如果這條命令是Format之類的危險命令,后果可想而知。

    3.SHS文件的防范方法

    碎片文件的圖標(biāo)和文本文件圖標(biāo)很相似,不過我們可以從注冊表中設(shè)置使SHS文件的擴展名顯現(xiàn)出來。運行注冊表編輯器Regedit.exe,在HKEY_CLASSES_ROOT\.shs主鍵下,將默認(rèn)值ShellScrap刪除,現(xiàn)在雙擊.SHS文件就不會執(zhí)行了。如圖5所示。

   

    圖5

    隨著病毒文件和惡意文件的不斷演變,五花八門的文件陷阱也越來越多,這就需要我們在平時多多留心,了解其運行機制,從而避免掉入這些危害極大的陷阱中。

最新文章