日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

如何識(shí)別“碎片對(duì)象”偽裝的病毒

云知道

一種在Windows中被稱作“碎片對(duì)象”(擴(kuò)展名為“.SHS”)的文件可能正披著雪白的“羊皮”(文本文件“.txt”)悄悄地走近你(通過電子郵件附件) , 然后輕松破壞你的計(jì)算機(jī)系統(tǒng) 。它之所以這樣可怕 , 有三點(diǎn)主要原因:
1.該文件在Windows中的默認(rèn)圖標(biāo)與記事本非常類似 。
2.在Windows的默認(rèn)狀態(tài)下 , “碎片對(duì)象”文件的擴(kuò)展名(“.SHS”)是隱藏的 , 即使你在“資源管理器工具文件夾選項(xiàng)查看”中設(shè)置成顯示所有文件名的擴(kuò)展名 , “.SHS”也還是
下面我們就一起來看看這個(gè)“隱身殺手”的真正面目吧!
一、技術(shù)背景
早在1992年的Windows 3.1版本中 , 微軟就引入了OLE(Object Linking and Embedding , 對(duì)象鏈接與嵌入)技術(shù) 。這項(xiàng)技術(shù)能在一個(gè)文件中鏈接或嵌入另一個(gè)文件 , 例如在寫字板或Word中可以鏈接或嵌入另一個(gè)文本文件、圖像文件或聲音文件等 。當(dāng)我們?cè)赪ord中嵌入一個(gè)Excel文時(shí) , 在Word會(huì)出現(xiàn)一個(gè)Excel文件圖標(biāo)及文件名稱 , 雙擊這個(gè)圖標(biāo)就可以調(diào)用Excel程序編輯該文件了 , 這項(xiàng)技術(shù)大大方便了文件的操作 。
為了能將這種嵌入文件中的“對(duì)象”方便地(使用復(fù)制方式)從一個(gè)文件移入另一個(gè)文件(或者說被其它文件調(diào)用、與其它文件共享此“對(duì)象”) , Windows使用了另一種技術(shù)Shell Scrap Object(簡稱SHS) , 它能將嵌入文件中的“對(duì)象”包裝成一個(gè)“碎片對(duì)象”文件 , 以備復(fù)制到其它文件中 。
二、實(shí)例
我們就來看看怎樣創(chuàng)建一個(gè)格式化軟盤的“碎片對(duì)象”文件 。
【如何識(shí)別“碎片對(duì)象”偽裝的病毒】 1.創(chuàng)建一個(gè)只包含一個(gè)空格(為了減小文件體積)的文本文件 , 任意取名 。
2.打開記事本 , 將此文件拖放入記事本 。也可以點(diǎn)擊記事本菜單欄中的“插入對(duì)象” , 彈出“插入對(duì)象”對(duì)話框 , 選中“從文件創(chuàng)建” , 然后點(diǎn)擊“瀏覽”按鈕選擇要插入的文件 。
3.選中該插入對(duì)象的圖標(biāo) , 選擇菜單欄中的“編輯包對(duì)象編輯包”(如圖1) 。在彈出的“對(duì)象包裝程序”對(duì)話框中 , 選擇菜單欄中的“編輯命令行” , 然后輸入如下命令:Format.com a: /autotest , 點(diǎn)擊“確定” , 此時(shí) , 內(nèi)容欄中會(huì)顯示出命令內(nèi)容 。
4.點(diǎn)擊外觀欄中的“插入圖標(biāo)”按鈕 , 會(huì)彈出一個(gè)警告對(duì)話框 , 確認(rèn) , 然后任選一個(gè)圖標(biāo) 。
5.選擇菜單欄中的“編輯卷標(biāo)” , 為此嵌入對(duì)象取一個(gè)名稱(會(huì)替換原來的文件名稱) 。點(diǎn)擊“文件”菜單中的“更新” , 然后關(guān)閉此對(duì)話框 。
6.將剛剛建立的嵌入對(duì)象拖放到桌面上 。文件的默認(rèn)名是“碎片” , 現(xiàn)在我們把它改成“iloveyou.txt” 。打開電子郵件程序?qū)⒆烂嫔系摹癷loveyou.txt”作為附件發(fā)出 , 或者將含有嵌入對(duì)象(帶有惡意命令)的文檔作為附件發(fā)出 。
7.當(dāng)郵件接收者誤將“iloveyou.txt.shs”文件作為“iloveyou.txt”(如前文所述 , “.SHS”擴(kuò)展名永遠(yuǎn)是隱藏的)放心地打開時(shí) , 或打開文件 , 點(diǎn)擊文件中的嵌入對(duì)象時(shí)觸發(fā)惡意命令(彈出DOS運(yùn)行窗口 , 執(zhí)行格式化命令) , 假如此時(shí)有另一個(gè)程序正在訪問軟驅(qū) , 則會(huì)顯示如下信息“Drive A: is currently in use by another process. Aborting Format.”(A驅(qū)正被另一個(gè)程序訪問 , 格式化中止) 。
真的很簡單 , 就這樣一個(gè)惡意的攻擊程序被弄出來了 , 太可怕了!
三、防治措施
1.在注冊(cè)表編輯器[HEY_CLASSES_ROOTShellScrap]鍵下 , 有一個(gè)鍵值“NeverShowExt” , 它是導(dǎo)致“.SHS”文件擴(kuò)展名無法顯示的“罪魁禍?zhǔn)住?。刪除這個(gè)鍵值 , 你就可以看到“.SHS”擴(kuò)展名了 。
2.更換“碎片對(duì)象”文件的默認(rèn)圖標(biāo) 。由于碎片對(duì)象文件的默認(rèn)圖標(biāo)與文本文件圖標(biāo)非常相似 , 容易麻痹人 , 所以我們要更換它的圖標(biāo) 。打開資源管理器 , 選中查看菜單下的“文件夾選框” , 在彈出的對(duì)話框中選擇“文件類型”活頁卡 , 在“已注冊(cè)的文件類型”下找到“碎片對(duì)象” 。單擊右上角“編輯”按鈕 , 在打開的“編輯文件類型”對(duì)話框中單擊上邊的“更改圖標(biāo)”按鈕 。打開C:WINDOWSSYSTEMPifmgr.dll , 從出現(xiàn)的圖標(biāo)中選一個(gè)作為.SHS文件的新圖標(biāo)(就選第一排最后一個(gè)吧 , 一顆炸彈!) 。

推薦閱讀