危險(xiǎn)的TXT文件的識(shí)別及防范方法(2)

　　2、技術(shù)原理

　　依照微軟的解釋，噓文件是一類特殊的對象鏈接與嵌入(對象鏈接與嵌入，對象連接和嵌入)對象，可以由詞文檔或優(yōu)秀電子表格創(chuàng)建。通過選擇文檔中文本或圖像的一塊區(qū)域，然后拖放該區(qū)域到桌面上的某處，就可以創(chuàng)建一個(gè)Windows碎片對象，或稱為噓文件(此文件是不可讀文件)。但是你可以用任何其它你想要的文件名重新命名噓文件，或者拖放噓對象到另一個(gè)文檔(同樣地，你可以剪切和粘貼)。

　　也就是說，我們所輸入的命令作為對象鏈接與嵌入對象嵌入到對象包裝程序新建的文件中了，而微軟為了能方便的將嵌入到文件的對象進(jìn)行復(fù)制，使用了一種技術(shù)殼廢料賓語(簡稱噓)，就是說，當(dāng)你在不同文件間復(fù)制對象時(shí)，Windows是將對象包裝成一個(gè)碎片對象來進(jìn)行復(fù)制的。因此，一旦我們不是在文件間進(jìn)行復(fù)制粘貼，而是直接將碎片對象粘貼到硬盤上，就會(huì)產(chǎn)生一個(gè).噓文件。這個(gè)碎片對象文件保存了原來對象的所具備的功能，原來對象包含的命令同樣會(huì)被解析執(zhí)行，這正是其可怕這處!3、防范方法(1)“野蠻”法噓文件既然不是可執(zhí)行文件，當(dāng)然需要其他的程序來解析執(zhí)行了，我們?nèi)サ艚馕鰣?zhí)行的關(guān)聯(lián)就可以簡單防止這種文件中潛伏的威脅了。運(yùn)行注冊表編輯器regedit.exe，在HKEY_CLASSES_ROOT\.shs主鍵下，將默認(rèn)值ShellScrap刪除，現(xiàn)在雙擊.噓文件，看，不會(huì)執(zhí)行了吧?彈出了一個(gè)對話框，讓我們選擇打開.噓文件需要的程序，此時(shí)你選擇“記事本”程序看就非常安全了。更徹底一點(diǎn)的辦法是將HKEY_CLASSES_ROOT\ShellScrap\shell\open\command下的打開.噓文件的關(guān)聯(lián)完全去掉，現(xiàn)在雙擊.噓文件，連選擇運(yùn)行程序的對話框也不出現(xiàn)了，它會(huì)直接要求在控制面板重建文件關(guān)聯(lián)。

　　(2)“文明”法①在注冊表編輯器HEY_CLASSES_ROOT\ShellScrap鍵下，有一個(gè)鍵值“NeverShowExt”，它是導(dǎo)致“.噓”文件擴(kuò)展名無法顯示的罪魁禍?zhǔn)�。刪除這個(gè)鍵值，你就可以看到“.噓”擴(kuò)展名了。

　�、诟鼡Q“碎片對象”文件的默認(rèn)圖標(biāo)。由于碎片對象文件的默認(rèn)圖標(biāo)與文本文件圖標(biāo)非常相似，容易麻痹人，所以我們要更換它的圖標(biāo)。打開資源管理器，選中“查看”菜單下的“文件夾選框”，在彈出的對話框中選擇“文件類型”標(biāo)簽，在“已注冊的文件類型”下找到“碎片對象”。單擊右上角“編輯”按鈕，在打開的“編輯文件類型” 對話框中單擊上邊的“更改圖標(biāo)”按鈕。打開C:\WINDOWS\SYSTEM\Pifmgr.dll，從出現(xiàn)的圖標(biāo)中選一個(gè)作為“.噓”文件的新圖標(biāo)即可。

　　(3)更多防治手段

　�、偃绻�是病毒文件隱藏了其真實(shí)擴(kuò)展名“噓”，而你在反病毒軟件中設(shè)置成掃描指定程序文件、而不是掃描所有文件(如只掃描可執(zhí)行文件)，那么反病毒軟件是無法發(fā)現(xiàn)病毒的，所以請?jiān)诜床《拒浖�的指定程序文件中加�?ldquo;.噓”文件的掃描。各種防病毒軟件的設(shè)置大同小異，比較簡單，請大家自己進(jìn)行設(shè)置。

　　②禁止“碎片對象”文件及“指向文檔的快捷方式”文件。

　　三。改頭換面的視野郵件附件除了上面所說的兩類危險(xiǎn)的“TXT”文件，還存在另一種危險(xiǎn)的“TXT”文件——改頭換面的視野郵件附件!即一個(gè)看起來是TXT的文件其實(shí)是個(gè)EXE文件!下面我以O(shè)utLook2000簡體中文版為例進(jìn)行詳細(xì)說明。

　　1. 開啟OutLook2000，新建一個(gè)郵件，選擇菜單欄中的“格式”→“帶格式文本”，在郵件正文點(diǎn)擊一下鼠標(biāo)左鍵，選擇菜單“插入”→“對象”，點(diǎn)擊“由文件創(chuàng)建”→“瀏覽”，選擇Windows目錄下的notepad.exe，點(diǎn)擊“確定”，在新郵件的主體部分出現(xiàn)notepad.exe及其圖標(biāo)。

　　2. 在剛出現(xiàn)的notepad.exe及其圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵，選擇“編輯包”，打開對象包裝程序，選擇“插入圖標(biāo)”按鈕，選擇“瀏覽”，選擇WINDOWS\SYSTEM\SHELL32.DLL，在當(dāng)前圖標(biāo)框中選擇一個(gè)你想要的圖標(biāo)，比方說選擇一個(gè)文本文件的圖標(biāo)，然后按“確定”。然后選擇菜單“編輯”→“卷標(biāo)”，任意定義一個(gè)名字，比方說hello.txt，點(diǎn)擊“確定”。

　　3. 退出對象包裝程序，在提示是否更新時(shí)選擇“是”。

　　4. 好，現(xiàn)在出現(xiàn)在面前的是hello.txt，一般人會(huì)認(rèn)為它是一個(gè)地地道道的文本文件附件，相信沒有人懷疑它是別的東西。請你雙擊這個(gè)圖表，看看會(huì)發(fā)生什么?是不是發(fā)現(xiàn)它打開的是notepad.exe!如果它是一個(gè)病毒文件，結(jié)果可想而知!事實(shí)上，當(dāng)你用OutLook2000收到這樣一個(gè)郵件時(shí)，它會(huì)顯示這是一個(gè)帶附件的郵件，當(dāng)你以為它是一個(gè)文本文件附件雙擊打開時(shí)，視野會(huì)提示:部分對象攜帶病毒，可能對你的計(jì)算機(jī)造成危害，因此，請確保該對象來源可*。是否相信該嵌入對象?安全觀念強(qiáng)的人一般會(huì)選擇“不”(這就對了)，一般的人可能會(huì)選擇是(你慘了!)。

　　識(shí)別方法:不要怕，盡管它的迷惑性極大，但是仍然會(huì)露出一些馬腳: 1. 它其實(shí)是一個(gè)對象鏈接與嵌入對象，并不是附件，選擇它時(shí)，選擇框會(huì)不同于選擇附件的選擇框。點(diǎn)鼠標(biāo)右鍵出現(xiàn)的菜單不同。

　　2. 雙擊打開它時(shí)，安全提示與附件的安全提示不同，這點(diǎn)非常重要。這時(shí)，應(yīng)該選擇“不”，然后點(diǎn)擊鼠標(biāo)右鍵，選擇“編輯包”，提示是否信任該對象時(shí)選擇“是”，在對象包裝程序的右邊內(nèi)容框中，將現(xiàn)出原形。在本例中，會(huì)顯示“NOTEPAD.EXE的備份”，文件是否可執(zhí)行，關(guān)鍵在這里。

　　3. 因?yàn)樗�不是附件，在選擇“文件”→“保存附件”時(shí)并無對話框出現(xiàn)。

　　4. 由于并不是所有的郵件收發(fā)軟件都支持對象嵌入，所以這類郵件的格式不一定被某些軟件識(shí)別，如OutLook Express。但是視野的使用面很廣，尤其是在比較大的、有自己郵件服務(wù)器的公司，所以還是有必要提醒大家小心嵌入對象，不光是視野，其實(shí)詞、優(yōu)秀等支持嵌入對象的軟件可以讓嵌入對象改頭換面以迷惑人。

　　如果用戶打開一個(gè)的特制的豐富文本格式文件(RTF)、文本文件(TXT)、或Word文檔(DOC)，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼，成功利用此漏洞的攻擊者可以獲得與本地用戶相同的用戶權(quán)限。