3 metody fałszowania fałszywych rozszerzeń plików w systemie Windows

2019-02-03 12:06:54
Główny·Porada Techniczna·3 metody fałszowania fałszywych rozszerzeń plików w systemie Windows

Rozszerzenie nazwy pliku jest bardzo ważne w systemie operacyjnym Windows i pojawia się na końcu nazwy pliku. Nie tylko możesz od razu powiedzieć, jaki typ formatu pliku, czy jest to obraz, czy aplikacja wykonywalna, system Windows może również zdecydować, z którym programem go uruchomić, na podstawie tego, co jest zarejestrowane na domyślnej liście programów.

Ogólnie należy zwrócić większą uwagę na format plików wykonywalnych, takich jak .EXE .COM .SCR .BAT .VBS .PIF i .CMD, ponieważ może to być złośliwe oprogramowanie zamiast legalnego programu. Na przykład ebook, który powinien być w formacie PDF lub EPUB, nie powinien mieć rozszerzenia .EXE, chociaż nadal jest to możliwe, jeśli jest zapakowany w kompilator ebooka innej firmy w celu ochrony przed nielegalną dystrybucją.

Ponieważ użytkownicy systemu Windows są bardziej ostrożni z wykonywalnym rozszerzeniem i zwracają mniejszą uwagę na bezpieczniejsze rozszerzenia, takie jak formaty obrazów, istnieje kilka sposobów, aby nakłonić nieostrożnego użytkownika do myślenia, że ​​zamiast tego plik EXE jest plikiem obrazu JPG. 1. Ukryj rozszerzenia znanych typów plików

W Opcjach folderów znajduje się ustawienie, w którym można ukryć rozszerzenie pliku, aby w Eksploratorze była widoczna tylko nazwa pliku, a rozszerzenie jest ukryte. Problem z tym ustawieniem polega na tym, że domyślną opcją jest ukrywanie, a mniej ostrożny użytkownik może zostać oszukany, gdy występuje podwójne rozszerzenie. Przykładem podwójnego rozszerzenia jest:

notes.txt.exe

Powyższy plik jest plikiem wykonywalnym, ale jest pokazany jako notes.txt z ukrytym rozszerzeniem .exe z powodu ustawienia opcji folderu. Następnym krokiem, aby plik wyglądał bardziej przekonująco, jest zmiana ikony pliku na ikonę Notatnika. Jak widać na poniższym obrazku przykładowym, wygląda jak zwykły plik tekstowy.

Jeśli zmienisz typ widoku na „Szczegóły”, w Eksploratorze bardzo wyraźnie widać, że tak zwany plik notes.txt jest w rzeczywistości aplikacją.

Możesz to potwierdzić, klikając plik prawym przyciskiem myszy, wybierając Właściwości z menu kontekstowego i przeglądając „Typ pliku”, który powinien pokazywać aplikację (.exe) .

Jest to bardzo stara sztuczka i kilka aplikacji antywirusowych, takich jak COMODO, ostrzeże Cię, gdy wykryje podwójne rozszerzenie w nazwie pliku.

Łatwym rozwiązaniem zapobiegającym popadnięciu w sztuczkę podwójnego rozszerzenia jest wyłączenie opcji „ Ukryj rozszerzenia znanych typów plików ” w Panelu sterowania> Opcje folderów> karta Widok.


2. Zastąpienie od prawej do lewej

Ta sztuczka używa Unicode od prawej do lewej, aby odwrócić ostatnie sześć znaków, aby rozszerzenie było sfałszowane. Na przykład nazwa pliku notes.exe może zostać zmieniona na notesexe.txt. Chociaż rozszerzenie pliku wyraźnie pokazuje jako .txt w Eksploratorze, system operacyjny Windows nadal rozpoznaje plik jako aplikację.

Ponieważ znak zastępowania od prawej do lewej nie może być wpisany z klawiatury i jest wyświetlany tylko w programie Map Znaków w systemie Windows, można po prostu pobrać bezpłatny program innej firmy o nazwie BabelMap, aby wygenerować znak RTLO do skopiowania do schowka i wkleić go, gdy zmiana nazwy pliku.

Na szczęście większość głównych przeglądarek internetowych podniosła się na czarną listę nadpisywania znaków od prawej do lewej, aby prawidłowe rozszerzenia plików były wyświetlane poprawnie, gdy użytkownik próbuje pobrać plik ze sfałszowanym rozszerzeniem przy użyciu sztuczki RTLO. Poza tym korzystanie z widoku „Szczegóły” w Eksploratorze może znacznie pomóc w określeniu prawidłowego typu pliku.


3. Programy wykorzystujące oprogramowanie

Starsza wersja WinRAR 4.20 jest podatna na fałszowanie nazw plików i rozszerzeń. Oznacza to, że możesz zmodyfikować plik ZIP utworzony przez WinRAR 4.20 za pomocą edytora szesnastkowego, aby wyświetlić inną nazwę pliku i rozszerzenie w GUI, ale inne rozszerzenie, gdy jest uruchamiany bezpośrednio z programu. Przykładem jest plik notes.exe skompresowany do pliku notes.zip przy użyciu WinRAR 4.20. Następnie za pomocą edytora szesnastkowego przejdź na koniec pliku i zmodyfikuj plik notes.exe do pliku notes.txt.

Otwarcie pliku notes.zip w WinRAR 4.20 pokaże teraz zarchiwizowany plik jako sfałszowany notes.txt zamiast notes.exe.

Dwukrotne kliknięcie pliku spoof z WinRAR GUI uruchomi plik jako aplikację. Jednak osoby, które wyodrębnią plik, będą bezpieczne przed tym atakiem polegającym na fałszowaniu, ponieważ zobaczą, że jest to plik wykonywalny (.exe), a nie plik tekstowy (.txt).

WinRAR 5 i nowsze wersje zostały załatane z tego exploita. Dlatego zawsze zaleca się aktualizowanie oprogramowania, nawet jeśli nie jest ono aplikacją związaną z Internetem.

Wybór Redakcji