適合讀者：入侵愛好者、普通網(wǎng)民

    前置知識：無

    別掉進(jìn)危險(xiǎn)的文件陷阱

    適合讀者：入侵愛好者、普通網(wǎng)民

    前置知識：無

    別掉進(jìn)危險(xiǎn)的文件陷阱

    文/圖 彭文波

    也許在不知不覺中，我們就打開了一個(gè)“readme.txt”或者一個(gè).bat批處理文件，你能保證這些文件絕對安全嗎？類似的，在.hlp（幫助文件）、.pif（指向DOS的快捷方式）、.lnk（Windows快捷方式）等文件中，也存在著同樣的危險(xiǎn)，一不小心，我們就有可能掉入這些文件的陷阱，

別掉進(jìn)危險(xiǎn)的文件陷阱網(wǎng)站安全

。對于身經(jīng)百戰(zhàn)的用戶來說，雖然有些文件很容易判斷，而其它一些帶有“陷阱”的文件就不容易判斷了。下面，我們來看看其中的一些典型文件陷阱。

偷梁換柱：從HTML網(wǎng)頁文件談起

    HTML文件應(yīng)該是我們見的最多的文件了，不過“樹大招風(fēng)”，HTML也是最危險(xiǎn)的文件格式之一，它有一個(gè)調(diào)用外部對象腳本運(yùn)行的功能，能給用戶造成了很大的麻煩。

    1．HTML文件的關(guān)聯(lián)

    下面，我們來看一個(gè)普通的例子�，F(xiàn)在，我們的郵件里面有一個(gè)看起來是這樣的文件：“機(jī)密文件.txt”，我們能肯定它就是純文本文件嗎？實(shí)際上，它的文件名可能“機(jī)密文件.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。而后面的這個(gè)后綴就很有學(xué)問了，“{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”在注冊表里就是HTML文件關(guān)聯(lián)的意思，等同于“機(jī)密文件.txt.html”。雙擊它，就會調(diào)用HTML來運(yùn)行，說不定已經(jīng)開始在后臺格式化D盤了。

    2．WScript與文件陷阱

    談到上述文件的危害，我們就要談到WScript了。在Windows Scripting Host腳本環(huán)境里，通過它自帶的幾個(gè)內(nèi)置對象，可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊表等功能。下面我們通過如下的*.vbs文件來說明：

    Set so=CreateObject("Scripting.FileSystemObject")

    so.GetFile(c:.exe).Copy("e:.exe")

    小知識：WScript的全稱是“Windows Scripting Host”，它所對應(yīng)的程序“WScript.exe”是一個(gè)腳本語言解釋器，位于C:\WINNT\system32，正是它使得腳本可以被執(zhí)行，效果和執(zhí)行批處理一樣。

    我們來詳細(xì)分析一下上述代碼，它可以拷貝文件到指定地點(diǎn)。第一行是創(chuàng)建一個(gè)文件系統(tǒng)對象，第二行前面是打開這個(gè)腳本文件，“c:.exe”是指明這個(gè)程序本身，是一個(gè)完整的路徑文件名。GetFile函數(shù)獲得這個(gè)文件，Copy函數(shù)將這個(gè)文件復(fù)制到E盤根目錄下。這也是大多數(shù)VBscript病毒的一個(gè)特點(diǎn)，它們在破壞過程中幾乎無聲無息，運(yùn)行它們時(shí)沒有任何提示，可謂是“隨風(fēng)潛入夜，潤物細(xì)無聲”。

    3．識別及防范方法

    可以看出，禁止相關(guān)對象就可以很有效地控制這種代碼的傳播。用“Regsvr32 scrrun.dll /u”這條命令就可以禁止文件系統(tǒng)對象，此外，在Windows 2000下，雙擊“我的電腦”圖標(biāo)，然后執(zhí)行“工具/文件夾選項(xiàng)”命令，選擇“文件類型”選項(xiàng)卡，找到“VBS VBScript. Script. File”選項(xiàng)，并單擊［刪除］按鈕，最后單擊［確定］即可。如圖1所示。

   

    圖1

    另外，還可以升級WSH 5.6以防止IE瀏覽器被惡意腳本修改，就是因?yàn)镮E 5.5以前版本中的WSH允許攻擊者利用JavaScript中的Getobject函數(shù)以及Htmlfilr ActiveX對象讀取瀏覽者的注冊表，可以在www.microsoft.com下載最新版本的WSH。

天外來客：OutLook中的陷阱文件

    1．典型陷阱郵件分析

    在Outlook中，我們很容易收到經(jīng)過改頭換面的OLE（Object Linking and Embedding，對象鏈接與嵌入）對象，和上面的HTML文件類似，它并不是真正的郵件附件。下面是一個(gè)很典型的例子：

    步驟1：打開OutLook2000，新建一個(gè)郵件，

電腦資料

《別掉進(jìn)危險(xiǎn)的文件陷阱網(wǎng)站安全》(http://www.oriental01.com)。選擇“格式” 菜單下的“帶格式文本”，在郵件正文點(diǎn)擊鼠標(biāo)左鍵。然后，選擇 “插入” 菜單下的“對象”，選擇“由文件創(chuàng)建”后的“瀏覽”�，F(xiàn)在，可以選擇Windows目錄下的Notepad.exe，點(diǎn)擊“確定”，在新郵件主體部分就會出現(xiàn)圖標(biāo)。

    步驟2：在圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵，選擇“編輯包”，打開對象包裝程序，選擇“插入圖標(biāo)”按鈕，選擇“瀏覽”。以Windows 2000為例，選擇C:\winnt\system\shell32.dll，在當(dāng)前圖標(biāo)框中選擇一個(gè)你想要的圖標(biāo)，比方說選擇一個(gè)文本文件的圖標(biāo)，“確定”，然后選擇菜單“編輯”→“卷標(biāo)”，任意定義一個(gè)名字，比方說readme.txt，點(diǎn)擊“確定”。如圖2所示。

   

    圖2

    步驟3：退出對象包裝程序，在提示是否更新時(shí)選擇“是”�，F(xiàn)在出現(xiàn)的是Readme.txt，一般人會認(rèn)為它是一個(gè)地地道道的文本文件附件。雙擊這個(gè)圖標(biāo)，如果它是一個(gè)病毒文件，后果可想而知，而這種情況十分常見。如圖3所示。

   

    圖3

    事實(shí)上，當(dāng)你用OutLook2000收到這樣一個(gè)郵件時(shí)，它會顯示這是一個(gè)帶附件的郵件，當(dāng)你以為它是一個(gè)文本文件附件雙擊打開時(shí)，OutLook會提示對象攜帶病毒，并可能對計(jì)算機(jī)造成危害，因此，請確保該對象來源可靠。

    2．陷阱郵件防范之道

    實(shí)際防范的過程中，我們需要明白：它其實(shí)是一個(gè)OLE對象，并不是附件。雙擊打開它時(shí)，安全提示與附件的安全提示不同，這點(diǎn)非常重要。在選擇“文件”→“保存附件”時(shí)并無對話框出現(xiàn)。

    小提示：由于并非所有的郵件收發(fā)軟件都支持對象嵌入，所以這類郵件的格式不一定被某些軟件識別，如OutLook Express。但是OutLook的使用面很廣，因此有必要小心行事。

瞞天過海：SHS碎片文件及防范

    這種情形比較常見：雙擊打開某個(gè)文本文件時(shí)，系統(tǒng)會閃過一個(gè)DOS窗口，然后聽到硬盤不停地讀寫，這就有可能是.shs文件了。

    1．SHS文件陷阱的基礎(chǔ)知識

    SHS文件是一類特殊的OLE（Object Linking and Embedding，對象連接和嵌入）對象，可以由Word文檔或Excel電子表格創(chuàng)建。也就是說，我們所輸入的命令作為OLE對象嵌入到對象包裝程序新建的文件中了，當(dāng)你在不同文件間復(fù)制對象時(shí)，Windows是將對象包裝成一個(gè)碎片對象來進(jìn)行復(fù)制的。因此，一旦我們不是在文件間進(jìn)行復(fù)制粘貼，而是直接將碎片對象粘貼到硬盤上，就會產(chǎn)生一個(gè).SHS文件。這個(gè)碎片對象文件保存了原來對象的所具備的功能，原來對象包含的命令同樣會被解析執(zhí)行，這正是其可怕之處！如果在該文件中含有諸如“Format”之類的命令將非�？膳�！

    2．關(guān)于陷阱文件的具體實(shí)例

    那么，碎片對象到底對用戶的計(jì)算機(jī)會造成什么威脅呢？

    步驟1：在硬盤上創(chuàng)建一個(gè)Readme.txt，然后我們來制作一個(gè)能刪除這個(gè)測試文件的碎片對象文件。先運(yùn)行c:/winnt/system32下的對象包裝程序Packager.exe。新建一個(gè)文件后，打開 “文件” 菜單下的“導(dǎo)入”，這時(shí)會彈出一個(gè)文件對話框，讓你選擇一個(gè)文件。不用考慮，隨便選擇一個(gè)文件就可以了。

    步驟2：然后打開“編輯”菜單下的“命令行”選項(xiàng)，在彈出的命令行輸入對話框中輸入“cmd.exe /c del d:\readme.txt”，點(diǎn)“確定”。然后在菜單中選擇“編輯”→“復(fù)制數(shù)據(jù)包”，如圖4所示。

   

    圖4

    接著，在桌面上點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單中選擇“粘貼”，這時(shí)我們可以看到在桌面創(chuàng)建了一個(gè)碎片對象文件。雙擊后，CMD窗口一閃而過后，再到D盤看看，測試文件D:\readme.txt已經(jīng)被刪除了！如果這條命令是Format之類的危險(xiǎn)命令，后果可想而知。

    3．SHS文件的防范方法

    碎片文件的圖標(biāo)和文本文件圖標(biāo)很相似，不過我們可以從注冊表中設(shè)置使SHS文件的擴(kuò)展名顯現(xiàn)出來。運(yùn)行注冊表編輯器Regedit.exe，在HKEY_CLASSES_ROOT\.shs主鍵下，將默認(rèn)值ShellScrap刪除，現(xiàn)在雙擊.SHS文件就不會執(zhí)行了。如圖5所示。

   

    圖5

    隨著病毒文件和惡意文件的不斷演變，五花八門的文件陷阱也越來越多，這就需要我們在平時(shí)多多留心，了解其運(yùn)行機(jī)制，從而避免掉入這些危害極大的陷阱中。