3 metoder for å påvise falske filendelser i Windows

2019-02-03 12:06:54
Hoved~~Pos=Trunc·Teknisk Veiledning·3 metoder for å påvise falske filendelser i Windows

En filendelse er veldig viktig i Windows-operativsystemet, og den vises på slutten av filnavnet. Ikke bare kan du øyeblikkelig fortelle hvilken type filformat, enten det er et bilde eller et kjørbart program, Windows kan også bestemme hvilket program som skal startes med det basert på hva som er registrert i listen over standardprogrammer.

Generelt bør du være mer oppmerksom på det kjørbare filformatet som .EXE .COM .SCR .BAT .VBS .PIF og .CMD fordi det kan være skadelig programvare i stedet for et legitimt program. For eksempel bør en e-bok som skal være i en PDF- eller EPUB-utvidelse ikke være .EXE, selv om det fortsatt er mulig hvis den er pakket med en tredjeparts ebook-kompilator for å beskytte mot ulovlig distribusjon.

Siden Windows-brukere er mer forsiktige med kjørbar utvidelse og legger mindre vekt på sikrere utvidelser som bildeformater, er det et par måter å lure den uforsiktige brukeren til å tro at en EXE fil er en JPG-bildefil i stedet. 1. Skjul utvidelser for kjente filtyper

Det er en innstilling i Mappealternativer der du kan skjule filtypen slik at bare filnavnet er synlig i Utforsker mens utvidelsen er skjult. Problemet med denne innstillingen er at standardalternativet er satt til å skjule, og en mindre forsiktig bruker kan lure når det er en dobbel utvidelse. Et eksempel på en dobbel utvidelse er:

notes.txt.exe

Filen over er faktisk en kjørbar fil, men vises som notes.txt med .exe skjult på grunn av innstillingen for Mappeopsjon. Neste trinn for å få filen til å se mer overbevisende ut er å endre filikonet til Notisblokkikon. Som du ser fra eksempelbildet nedenfor, ser det ut som en vanlig tekstfil.

Hvis du endrer visningstypen til “Detaljer”, viser den veldig tydelig i Utforsker at den såkalte notes.txt-filen faktisk er et program.

Du kan bekrefte dette ytterligere ved å høyreklikke på filen, velge Egenskaper fra hurtigmenyen og se “Filtype” som skal vise Application (.exe) .

Dette er et veldig gammelt triks, og noen få antivirusprogrammer som COMODO vil advare deg når den oppdager en dobbel utvidelse i et filnavn.

En enkel løsning for å forhindre at du faller i det doble utvidelsestriket, er å deaktivere alternativet " Skjul utvidelser for kjente filtyper " fra Kontrollpanel> Mappealternativer> Vis-fanen.


2. Rett til venstre overstyr

Dette trikset bruker Right to Left unicode for å reversere de seks siste tegnene slik at utvidelsen blir forfalsket. For eksempel kan en notes.exe-fil gi nytt navn til notesexe.txt. Selv om filtypen tydelig vises som .txt i Explorer, gjenkjenner Windows-operativsystemet fortsatt filen som et program.

Siden Right to Left overstyringstegn ikke kan skrives fra tastaturet og bare vises i Character Map-programmet som finnes i Windows, kan man ganske enkelt laste ned et gratis tredjepartsprogram kalt BabelMap for å generere RTLO-tegnet for kopiering til utklippstavle og lime det inn når gi nytt navn til en fil.

Heldigvis har de fleste store nettlesere trappet opp for å svarteliste tegnet fra høyre til venstre, slik at de riktige filtypene vises riktig når en bruker prøver å laste ned filen med en forfalsket utvidelse ved hjelp av RTLO-trikset. Annet enn det, kan du bruke visningen "Detaljer" i Utforsker i stor grad hjelpe deg med å bestemme riktig filtype.


3. Programvareutnyttelse

En eldre versjon av WinRAR 4.20 er sårbar for filnavn og forlengelse av spoofing. Dette betyr at du kan endre ZIP-filen opprettet av WinRAR 4.20 ved hjelp av en hex-redigeringsprogram for å vise et annet filnavn og utvidelse i GUI, men en annen utvidelse når den kjøres direkte fra programmet. Et eksempel er en notes.exe-fil komprimert til en notes.zip ved bruk av WinRAR 4.20. Deretter bruker du en hex-editor, til slutten av filen og endrer notes.exe til notes.txt.

Åpning av notes.zip-filen i WinRAR 4.20 vil nå vise den arkiverte filen som den forfalskede notes.txt i stedet for notes.exe.

Dobbeltklikk på forfalskningsfilen fra WinRAR GUI vil kjøre filen som applikasjon. Imidlertid vil folk som trekker ut filen være trygge for denne forfalskningen, fordi de vil se at det er en kjørbar (.exe) -fil som blir trukket ut, ikke en tekstfil (.txt).

WinRAR 5 og over er blitt oppdatert fra denne utnyttelsen. Derfor er det alltid lurt å holde programvaren oppdatert selv om det ikke er et internettrelatert program.

Redaksjonens