探讨和研究防御“Unicode控制符反转伪装后缀名漏洞”

webuncle

我觉得lz应该在贴首做个说明，一个修改帖子的说明。这样才是真相

网之龙

嗯，大家讨论得是热火朝天，那我也跟着凑凑热闹……

首先请大家不要口水，国人就是有爱窝里斗的毛病……难怪我国历史上的内战远远超过对外战争……

言归正传。理论上，任何可执行的文件比如bat、vbs脚本之类的都可能作类似处理；如果形成比如MMsbv.jpg这类名称反转的情况可能更好（很多人对exe字眼比较敏感，但对vbs、vbe、js之类的脚本程序却容易轻视）。而且exe文件用此方法后如果在其上右键点击会出现延迟显示状况，双击不会。但bat、vbs、js之类脚本程序右键则不会出现类似情况。
这种方法的局限性性大家也都说到了，我就不必重复。

其实在早期还存在着一种通过更改自身文件名的方法来逃避杀毒软件的监控和查杀。那就是利用Windows系统的命令行程序cmd.exe。举例说明：一个原本名称为mm.exe的病毒，先随便改名为mm.bfc（傻眼了吧？没错，就是后缀名怪得离奇越好！）。然后改变了后缀名的它能否在Windows系统下直接运行呢？当然不能！但是如果调用了命令行程序cmd执行它的话，结果就成功运行了！不相信的网友可以自己作测试，我的是WinXP系统，是有cmd命令行程序的。先假设这个mm.bfc在C盘根目录下，接着运行cmd.exe打开对话框，输入“CD\”然后回车（引号不要输入），应该转到C盘根目录下了。最后在对话框中直接输入mm.bfc（甚至只输入mm就行了）回车！是不是这个原是exe 扩展名的程序被运行了！

在病毒或者木马实际情况下，它是不可能一个键一个键盘地输入cmd命令，而是预先通过其它程序达到目的，在其中调用cmd程序执行改名后的自身的，比如Autorun.inf、其它bat、vbs程序等等！

这种方式，包括楼主转发的Unicode控制符反转伪装后缀名，均只能躲避对扩展名防范不严格（部分杀毒软件重点对exe、com、 bat之类的可执行文件扩展名防得比较严格，而对这种“生僻”扩展名防范不严）和对cmd.exe命令行程序调用防范不严的杀毒软件，即使进一步加壳加花，也只是躲避静态表面查杀，对主防和行为分析甚至HIPS还是不行的。

所以，杀毒软件要注重防护而不只是查杀，这才是最为重要的。

lixiang1977

这有什么好看的，实际后缀名还是EXE，只是显示的方式不一样罢了！

cocplay

看完帖子 觉得360还是不错的

帅就是帅

太长了，先占座再慢慢看

liyuxinbaoding

这种真相永远是在不完全发挥360，而金山发力110的情况下得到的，
如果大家有意，可以去查看此人以前的所谓真相贴，从来都是对360半遮半掩，让你觉得360就是废柴，一被反驳，马上修改或者无影无踪
近几月来，越发的对此人的所谓真相那啥啥了
不信的可以往前查

情长路更长

围观下，对这些偶不太懂，还是闪人先~~

败亦枭雄

看样子这种漏洞的威胁也不大，因为有主动防御。。

qwe12301

回复 40楼 你想怎样 的帖子

原来是什么内容

√×√×√√×

liyuxinbaoding 发表于 2010-10-26 17:45
这种真相永远是在不完全发挥360，而金山发力110的情况下得到的，
如果大家有意，可以去查看此人以前的所谓 ...

真相的历史大家都懂的~ 不然怎么会有这么多围观的。