隐藏于“文本文档”中的阴谋(2)
二、双后缀文件,真假难辨
在显示文件后缀的主机上,上面的“文本木马”还是比较容易被看出破绽的。黑客们可能还会对文件名动一番手脚,让它更具迷惑性。
首先可为文件名加上双后缀,将上面的木马文件名改为“******.txt.exe",在一些隐藏了文件后缀名的电脑上,这个文件会显示文件为“******.txt”,这样就迷惑了很多用户,以后文件名缀就是.txt的文本文件。
黑客还可能使用更绝的一个招数,在两个后缀名间加上一些空格,例如将文件改名为“******.txt
.exe”。由于文件现在是双后缀,并且文件名足够的长,我们在文件名中添加了足够的空格,以至于在文件名中只显示“.txt”后缀,而表示真正文件类型的“.exe”后缀却隐藏起来了(如图3)!
图3 利用空格隐藏真正的文件类型
这样的文件是不是很具迷惑性?不是细心看,根本看不出来文件后缀中那几个小小的省略号,电脑用户十有八九会被其欺骗!即使用户在资源管理器中开启了显示文件后缀名的选项,也依然会在很大程度上被蒙骗过去!
三、深度隐藏,不会显示的文件名
大家知道,木马攻击早已从简单的程序木马,演变成了网页木马、图片木马等多种分类。有没想这,也许你打开的一个貌似文本的文件,实际上却运行了一个网页木马呢?
黑客首先会制作一个后缀为“.html”的网页木马,这类木马制作很简单,例如利用IE的Iframe漏洞就可以方便的制作一个溢出HTML网页,只要有人打开些网页,就会造成IE溢出,系统打开端口供黑客远程连接控制。制作的具体方法在这里就不多说了,假设网页文件文件名为“test.html”,黑客可能将它改成“test.txt.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}”。这样该文件在资源管理器中即使采用了显示后缀名的方式,也只显示为后缀名为.txt的文本文件,一般人根本看不出任何的异样。但是因为{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}实际上就是html的注册表文件关联,双击时却会调用IE打开文件以HTML格式运行,造成IE溢出系统打开远程控制端口。
四、系统崩溃,毁于“碎片”
很多朋友听说过Windows中的碎片对象文件(.shs文件),但是对于这种文件所带来的威胁,却不是很重视。不过当你运行了一个貌似文本文件的文件碎片时,也许才知道不起眼的碎片,原来有如此大的破坏力!
小贴士:什么是文件碎片
碎片对象文件(.shs)的缺省图标与文本文件图标相同,很容易会被误认为是一些文本文档,因此用户对这种文件也不会太注意防范。“.shs”是一个无条件隐藏扩展名的文件,即使将资源管理器的“文件夹选项”设置为显示所有文件后缀名,“.shs”文件也仍然是隐藏的!并且用任何杀毒软件检查此文件,都绝对找不到任何病毒,用碎片文件来伪装文本文件进行攻击是最合适不过的了。
黑客会创建一个碎片对象文件,点击“开始→运行”,输入“packager.exe”后回车,运行“对象包装”程序。然后点击菜单“文件→导入”,弹出一个文件对话框,任意选择一个文件。
点击菜单“编辑→命令行”,在弹出的命令行输入对话框中输入命令“cmd.exe /c del c:\*.*”(如图4),确定后此命令将显示在程序右边窗口中。
图4 输入恶意命令
点击菜单“编辑→复制数据包”命令,回到Windows桌面上,点击鼠标右键,在弹出菜单中选择“粘贴”,可以看到,桌面创建了一个名为“片段”的碎片对象文件。接下来,再将文件改名为“片段.txt”。
一旦有人双击运行了这个“文本”文件,桌面上闪过一个命令窗口之后,C盘根目录下的所有文件都被删除了,重启后无法正常进入系统。黑客基至可以在命令行窗口中输入破坏性更强的命令,例如格式化硬盘“cmd.exe /c format c:\”等。
相关文章:
- [2021年03月11日]什么是双活数据中心?
- [2020年06月14日]网络信息安全新态势
- [2018年03月18日]如何讲懂区块连?
- [2018年03月18日]国家推进互联网协议第六版(IPv6)规模部署行动计划
- [2018年03月18日]区块链可能会影响的十九个行业
- [2017年02月19日]泥客百科:CPS(信息物理系统)
- [2015年12月06日]泥客百科:APT
- [2015年12月06日]数字证书 ca、ra、da简介
- [2015年12月06日]泥客百科:IPS (入侵防御系统)
- [2015年12月06日]泥客百科:堡垒机