发一个有趣的东东

mylky

还是网之龙网友明察秋毫!那我向大家说一下,不知道有人用过Edit记事本编程软件没有,那里就有一个java文件保存注意说明!
   a.java.txt 同 a.java 是不同的!
查这个也不会太难,只要看文件保修属性,应该可以察觉出不同!

网之龙

其实在早期还存在着一种通过更改自身文件名的方法来逃避杀毒软件的监控和查杀。那就是利用Windows系统的命令行程序cmd.exe。举例说明：一个原本名称为mm.exe的病毒，先随便改名为mm.bfc（傻眼了吧？没错，就是后缀名怪得离奇越好！）。然后改变了后缀名的它能否在Windows系统下直接运行呢？当然不能！但是如果调用了命令行程序cmd执行它的话，结果就成功运行了！不相信的网友可以自己作测试，我的是WinXP系统，是有cmd命令行程序的。先假设这个mm.bfc在C盘根目录下，接着运行cmd.exe打开对话框，输入“CD\”然后回车（引号不要输入），应该转到C盘根目录下了。最后在对话框中直接输入mm.bfc（甚至只输入mm就行了）回车！是不是这个原是exe 扩展名的程序被运行了！

在病毒或者木马实际情况下，它是不可能一个键一个键盘地输入cmd命令，而是预先通过其它程序达到目的，在其中调用cmd程序执行改名后的自身的，比如Autorun.inf、其它bat、vbs程序等等！

这种方式，包括楼主转发的Unicode控制符反转伪装后缀名，均只能躲避对扩展名防范不严格（部分杀毒软件重点对exe、com、 bat之类的可执行文件扩展名防得比较严格，而对这种“生僻”扩展名防范不严）和对cmd.exe命令行程序调用防范不严的杀毒软件，即使进一步加壳加花，也只是躲避静态表面查杀，对主防和行为分析甚至HIPS还是不行的。

所以，杀毒软件要注重防护而不只是查杀，这才是最为重要的。

lixiang1977

这种东西只能骗得了人骗不了计算机！

Lgwu

网之龙 发表于 2010-10-26 16:59
其实在早期还存在着一种通过更改自身文件名的方法来逃避杀毒软件的监控和查杀。那就是利用Windows系统的命令 ...

说这么多，你还是没看明白我发这个东东的意思。
有人发一个文件给你，如果对方和自己不熟，多数人先看文件的。如果一眼看出是EXE，
多数人都不会去打开。但是如果一眼看到的只是一个图片文件呢？我想很多人会直接打开
看看。在很多人眼里，图片是不会为病毒的。
我说的是人为打开文件这个行为 ，和杀毒软件查杀，以及其它各种办法让文件在对方机子
上运行不是一回事。

huazi922

了解了解!

pen

社会工程学原理——伪装和吸引原理——恶意程序。
防御这类恶意程序的运行，说难也难，说易也易。
在软件限制策略中建立几条路径型规则即可禁运：
规则名                  安全级别
*.jpeg.exe             不允许
*.jfif.exe                 不允许
*.tfif.exe                 不允许
*.???.exe                不允许
    或者，将字符串“???”具体化为jpg、png、gif、bmp、bid、mp?（如mp2、mp3、MP4等）、txt、doc、ppt、xml等表示常见的图片、音乐和文档类型的扩展名（三字符型）。
      当然，对于多数用户而言，他（她）们不熟悉软件限制策略，因此只能依赖安全软件来防范。

挪威的冬天

leisong 发表于 2010-10-26 15:33
回复 39楼 Lgwu 的帖子

你把这个文件改成RAR后缀就知道了

就是把 RAR 放在 JPG 后面而已
解压的时候会搜索 RAR 标识
所以前面的 JPG 内容会被忽略掉

亡灵之月

这个漏洞很杯具，识别错误的，好像不仅仅是只有肉眼

liehuoxiongxin

网之龙 发表于 2010-10-26 16:59
其实在早期还存在着一种通过更改自身文件名的方法来逃避杀毒软件的监控和查杀。那就是利用Windows系统的命令 ...

说得好，同感

herofw

有这么严重吗