如果你认为存在安全的扩展名那你就错了！

ELOHIM

首先来看扩展名更改前后是不会影响散列值的。而相当一部分多引擎网站和安软云库通过散列确定一个文件。
下面是谷歌离线安装包的 exe 和 vir 格式散列对比。丝毫不差！！
[mw_shl_code=css,true]Sigcheck v2.20 - File version and signature viewer
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\users\^\downloads\45.0.2454.85_chrome64_installer.exe:
        Verified:       Signed
        Signing date:   10:00 2015/8/28
        Publisher:      Google Inc
        Description:    Google Chrome Installer
        Product:        Google Chrome Installer
        Prod version:   45.0.2454.85
        File version:   45.0.2454.85
        MachineType:    32-bit
        MD5:    463CF896DB6F11A2E569458C94CF13C4
        SHA1:   46824C18C2E82A7E78E122C95506193ED41510BD
        PESHA1: 4FE829E66DCFD378B19E2583CAA558E14969A926
        PE256:  70811179E2CA7889A83371C284AD96C06B73D3C0993C08D13339D460FE783ECB

        SHA256: B4D7E6B3523330CCDC33EE4B5831685AD019349E2704C942C1B9FF4360A6DDD7

        IMP:    97C84E275E3D60A5007B71CAF69B1F34

C:\Users\^>"F:\SysinternalsSuite\sigcheck.exe" -h "C:\Users\^\Download
s\45.0.2454.85_chrome64_installer.vir"

Sigcheck v2.20 - File version and signature viewer
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\users\^\downloads\45.0.2454.85_chrome64_installer.vir:
        Verified:       Signed
        Signing date:   10:00 2015/8/28
        Publisher:      Google Inc
        Description:    Google Chrome Installer
        Product:        Google Chrome Installer
        Prod version:   45.0.2454.85
        File version:   45.0.2454.85
        MachineType:    32-bit
        MD5:    463CF896DB6F11A2E569458C94CF13C4
        SHA1:   46824C18C2E82A7E78E122C95506193ED41510BD
        PESHA1: 4FE829E66DCFD378B19E2583CAA558E14969A926
        PE256:  70811179E2CA7889A83371C284AD96C06B73D3C0993C08D13339D460FE783ECB

        SHA256: B4D7E6B3523330CCDC33EE4B5831685AD019349E2704C942C1B9FF4360A6DDD7

        IMP:    97C84E275E3D60A5007B71CAF69B1F34[/mw_shl_code]
好了，现在，让我砸键盘的冲动上来了，我主机从来没有用过谷歌浏览器，
这下好，跑了45.0.2454.85_chrome64_installer.vir 这个，屏幕闪了几下，一切都准备就绪了！！都就绪了知道吗？？

卡饭昨天晚上真特别卡。。。这本是昨天晚上应该发的贴子。现在补图一个。

然后索性改成 我爱你 扩展名，一样被安装。但是其它几个exe比如QQ、央视影音（全都不是在线安装包）改了扩展名就不行了，会弹窗报错。
这只能证明exe也是多种多样的。有些 exe 解压可以得到里面写好的程序 exe，有些解压出来的文件就是二进制。这主要和编译工具有关还是和编程语言有关呢？
vir格式，我爱你格式丝毫不能阻挡谷歌浏览器安装，你相信扩展名是安全的吗？
@wjy19800315 @root1605 @明月丶舞白衣 @jefffire @丶鍇児、 @maomao110 @驭龙

我是隔壁的小号

有的文件改了拓展名和没有改一样，而有的却不一样，没有深入研究过，我只知道腾讯QQ的安装包和谷歌浏览器的安装包，flash的安装包，都是三大奇葩。

ELOHIM

我是隔壁的小号 发表于 2015-9-4 10:05
有的文件改了拓展名和没有改一样，而有的却不一样，没有深入研究过，我只知道腾讯QQ的安装包和谷歌浏览器 ...

感谢解答。
并且有一些exe支持解压，有一些就不支持。
是算法不同吗？？
不懂。。。

我是隔壁的小号

ELOHIM 发表于 2015-9-4 10:17
感谢解答。
并且有一些exe支持解压，有一些就不支持。
是算法不同吗？？

恩，是的，比如7-Zip，他能解压谷歌离线安装包，却不能解压在线的离线安装包【离线安装包和在线离线安装包不是一个概念】，这个应该是压缩方式的不同，但是他们都是exe文件。
exe其实有很多种生成方法，不能一概而论，NISI也能做exe，也算是独有加密算法了吧，反正拓展名这个东西，还是蛮深奥的，深入研究没意义，你只需要知道你的安全软件早就帮你考虑到了。
比如卡巴斯基，你改了拓展名照样监控。

bzaf868

请你到AppData\Local\Temp下去看一下。实际上run起来的还是解压到临时文件夹的exe。你把这个exe扩展名改了试试？

cocabean

研究这个不如直接来个hips，然后全局文件监控，比纠结这个来得更实在一点来自: iPhone客户端

我是隔壁的小号

bzaf868 发表于 2015-9-4 10:45
请你到AppData\Local\Temp下去看一下。实际上run起来的还是解压到临时文件夹的exe。你把这个exe扩展名改了 ...

哈哈哈，没错，谷歌这个很奇葩，MSI能生成三个安装包，还是一模一样的。

sjneng

所以说有些vir后缀或者别的后缀的文件也是可以杀的，有些vir不杀，zip杀，或许它在vir就是不能运行呢？
最后
安全厂商绝对想的比你周全

sunnyjianna

信赖手里的安全软件吧

手中的红蜻蜓

好深奥的酱紫，偶现在还是一头雾水倪；