TXT文件格式不是最安全的一种文件格式吗?是啊,本来是安全的,不过经过“网络流氓”们的乔装易容、改头换面,精心包装后,它瞬间便成为了我们最危险的敌人。还是不理解?看了下面的文章,了解这些所谓的“TXT”文件的真实面目,你就明白了!
看上去很美──乔装易容术
1. 现象
收到例如“礼品免费送.txt”之类的TXT文本文件,双击这个文本文件时,发现没有用记事本打开该文件,而是用弹出式的浏览器窗口来打开了一个HTML文件,上面可能就有恶意的攻击代码!
2. 原理
其实这并不是一个真正的TXT文件,它的真实名称应该是“礼品免费送.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。这实际上是一个双扩展名文件,扩展名{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是如果把HTML格式的文件保存成这个扩展名的时候它并不会显现出来,看到只是个.txt文件,所以双击该文件时它自然也不会用记事本打开了。
3. 防范
再好的伪装总会有破绽的。这个冒充的TXT文件的图标并不是真正的TXT文件图标,它的图标是默认的未定义文件类型的图标。另外如果你的资源管理器设置的是“按Web页”方式查看文件时,在资源管理器文件列表框左边就会显示出这个文件名的全称(图1),根据这两个特性我们就可以判断出它的真伪了。
乱花渐欲迷人眼──改头换面术
1. 现象
在OE中收到一个名为“礼品免费送.txt”之类的TXT文本文件附件,相信你不会怀疑它是别的东西吧。然而当你双击打开这个附件时,却没有用记事本打开文本文件,或者出现一个莫名其妙的对话框,或者什么也没有。而后我们的电脑就可能会突然有了病毒和木马程序。
2. 原理
其实这个TXT文件是一个经过改头换面的OLE(Object Linking and Embedding,对象链接与嵌入)对象,它并不是真正的邮件附件。这项技术在一个文件中链接或嵌入另一个文件,然后通过这个链接或嵌入的对象,我们就能够在程序中轻松调用和编辑另一个程序支持的文件。这项技术大大方便了文件的操作,但也为黑客的入侵提供了方便。
3. 防范
因为这个TXT文件并不是真正的附件,所以在选择它时,选择框会不同于选择附件的选择框,单击鼠标右键时也会出现不同的快捷菜单,并且在选择“文件”菜单中的“保存附件”命令时并不会出现保存对话框。另外在双击打开它时,系统弹出的安全提示也与打开附件的安全提示不同,这点非常重要。这时你可以选择“否”按钮,然后单击鼠标右键,选择“编辑包”,提示是否信任该对象时选择“是”,在打开的“对象包装程序”对话框右边的内容框中将会使这类TXT文件现出原形。
都是微软惹的祸──对象包装术
1. 现象
照样是收到一个有着诱人名称的TXT文本文件,如“礼品免费送.txt”等。然而当你双击打开这个文本文件时,你会发现系统会一闪而过一个DOS窗口,然后呢?可以听到硬盘不停地读写,往下你就惨了。
2. 原理
其实这个TXT文件的真实身份是“礼品免费送.txt.shs”,因为系统默认的SHS(Shell Scrap Object)扩展名的文件是隐藏扩展名的,即使你在资源管理器的“文件夹选项”里设置了显示所有文件的扩展名,也无法使SHS扩展名露出原形。SHS是一种可以将嵌入文件中的“对象”包装成一个“碎片”对象文件的技术,以方便用户将这个对象复制到其它文件中。然而就是这个本来可以给人方便的技术,却成为恶意攻击的制造者(微软的很多技术往往都具有这样的“特性”)。
3. 防范
这种TXT文件从图标上不太容易分辨,因为这种碎片文件的图标和真正的TXT文件图标十分相似。不过我们可以从注册表中设置使SHS文件的扩展名显现出来,它就会原形毕露了。运行注册表编辑器,打开HKEY_CLASSES_ROOTShellScrap主键,可以在右边的窗格中看到有一个键值“NeverShowExt”,这就是导致“.SHS”文件扩展名无法显示的“罪魁祸首”。选中该键值,单击鼠标右键,从快捷菜单中选择“删除”命令,以后在资源管理器中你就可以看到“.SHS”扩展名了。其实我们在日常操作中并不经常用到SHS文件,所以我们可以在资源管理器的“查看”菜单中选择“文件夹选项”,然后单击“文件类型”选项卡,在“已注册的文件类型”列表中找到“碎片对象”,然后单击“删除”按钮(图2),以后就再也不会受到它的危害了。
最后要再次提醒大家注意的是,不要以为是TXT文件就一定安全了,对于收到的邮件中的TXT文件附件,不但要分析其扩展名是否为双扩展名,还要注意其显示的图标究竟是不是TXT文本文件的图标。最好的办法是将它下载下来,然后用记事本打开它,就不会有任何危险了,而且这样还可以看到那些假冒的TXT文件的真实面目。
| 
