史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-11-01, 11:55 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 資訊 - 防範郵件欺騙攻擊 解析「文本文件」的附件

防範郵件欺騙攻擊 解析「文本文件」的附件

假如收到的郵件附件中有一個看起來是這樣的文件:QQ靚號放送.txt,您是不是認為它肯定是純文本文件?我要告訴您,不一定!它的實際文件名可以是QQ靚號放送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}。{3050F4D8-98B5-11CF-BB82- 00AA00BDCE0B}在註冊表裡是HTML文件關聯的意思。但是存成文件名的時候它並不會顯現出來,您看到的就是個.txt文件,這個文件實際上等同於QQ靚號放送.txt.html。那麼直接打開這個文件為什麼有危險呢?請看如果這個文件的內容如下:***(內容過於危險,這裡不予給出)。



您可能以為它會呼叫記事本來執行,可是如果您雙擊它,結果它卻呼叫了HTML來執行,並且自動在後台開始格式化d盤,同時顯示「Windows is configuring the system。Plase do not interrupt this process。」這樣一個交談視窗來欺騙您。您看隨意打開附件中的.txt的危險夠大了吧?


欺騙實現原理:當您雙擊這個偽裝起來的.txt時候,由於真正文件延伸名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,於是就會以html文件的形式執行,這是它能執行起來的先決條件。


文件內容中的第2和第3行是它能夠產生破壞作用的關鍵所在。其中第3行是破壞行動的執行者,在其中可以載入帶有破壞性質的命令。那麼第2行又是幹什麼的呢?您可能已經注意到了第2行裡的「WSCript」,對!就是它導演了全幕,它是實際行動總指揮。


WScript全稱Windows Scripting Host,它是Win98新加進的功能, 是一種批次語言/自動執行工具——它所對應的程式「WScript.exe」是一個腳本語言解釋器,位於c:WINDOWS下,正是它使得腳本可以被執行,就像執行批處理一樣。在Windows Scripting Host腳本環境裡,預定義了一些對象,通過它自帶的幾個內置對象,可以實現獲取環境變數、創建快捷方式、載入程式、讀寫註冊表等功能。


下面我們通過一個小例子來說明Windows Scripting Host功能是如何的強大,使用又是怎樣的簡單,被有心人利用後的威脅有多大。例如有內容如下的*.vbs文件:

 Set so=CreateObject("Scripting.FileSystemObject")

so.GetFile(c:windowswinipcfg.exe).Copy("e:winipcfg.exe")


就是這麼兩行就可以拷貝文件到指定地點。第一行是創建一個文件系統對象,第二行前面是打開這個腳本文件,c:windows winipcfg.exe指明是這個程式本身,是一個完整的路徑文件名。GetFile函數獲得這個文件,Copy函數將這個文件複製到e盤根目錄下。這也是大多數利用VBscript編寫的病毒的一個特點。從這裡可以看出,禁止了FileSystemObject這個對象就可以很有效的控制這種病毒的傳播。用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象。


欺騙識別及防範方法:這種帶有欺騙性質的. txt文件顯示出來的並不是文本文件的圖示,它顯示的是未定義文件類型的標誌,這是區分它與正常.txt文件的最好方法。識別的另一個辦法是在「按WEB 頁方式」檢視時在「我的電腦」左面會顯示出其文件名全稱,此時可以看到它不是真正的txt文件。問題是很多初學者經驗不夠,老手也可能因為沒留意而打開它,在這裡再次提醒您,注意您收到的郵件中附件的文件名,不僅要看顯示出來的延伸名,還要注意其實際顯示的圖示是什麼。對於附件中別人發來的看起來是. txt的文件,可以將它下載後用滑鼠右鍵選擇「用記事本打開」,這樣看會很安全。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1624 篇, 收花: 3187 次
向 psac 送花的會員:
wulihua (2006-11-09)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 04:54 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2018, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1