记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

细数那些鲜为人知的后缀名隐藏技巧

2016-10-10 21:50

众所周知,恶意软件利用社会工程学技巧来隐藏自己为可执行文件的身份。恶意附件通过特制的图标伪装成为真正的文件。除此以外,它们经常使用双后缀拓展名。如“.pdf.exe”或“.doc.exe”,它利用了windows默认隐藏后缀名的特性,用户通常不会意识到这一点。

恶意软件也使用不常见的后缀名,如“.scr”。

恶意软件隐藏自身的全部技巧。在本文中,我将介绍恶意软件进行隐藏欺骗的另两种技巧。

使用PIF后缀

这招比较猥琐,即使windows用户禁用隐藏默认文件名,也是默认不显示“.pif”后缀的。

下面图片是一个文件将后缀改为“.pif”的样子。它不仅把后缀隐藏了,而且将原来的图片替代了。文件的全名是“file.txt.pif”。

file_txt_pif

“.pif”后缀文件是可执行文件后缀,双击即可执行。

如果查看文件的详细详情,我们就会发现它是一个“Shortcut to MS-DOS Program”文件,即可执行文件。

type

这个技巧被用在了a recent campaign of Petya/Mischa in Poland

RTLO – Right To Left Override

事实上,大多数的国家,包括欧盟和美国,语言是从右往左书写的。为了支持这类语言,便创建了Unicode字符,作为两模式间的转换。Unicode编码也被恶意使用,用来隐藏文件后缀。这种Unicode编码成为:U + 202e。

我们看一下RTLO是如何实现的。首先需要一个在线的Unicode转换器。比如这个:戳我

对这种技巧演示,先将一个文件命名为“.scr”的可执行文件。然后尝试修改后缀名进行伪装,使它看起来像个“.txt”文件。

第1步:创建一个可执行文件

file_scr

第2步:添加字符翻转字符串循序

addind_reverse

第3步:在末尾添加伪装的扩展名(即“.txt”)

adding_txt

第4步:复制准备了文件名并且重命名文件

file_exe_txt

改变文件图标,这样看起来就更像一个正常的文件。只有查看文件详细信息的时候才会显示文件的真正类型-屏幕保护程序。

scr-1

此外,当我们尝试重命名文件时,鼠标选中部分是不连续的。

rename总结

正如我们所看到的,文件扩展可以通过各种方式被欺骗,禁用Windows隐藏扩展的功能并不能解决所有问题。文件后缀隐藏是很容易实现的。应该警惕每一个下载的文件,即使它下载文件的图标和后缀名看起来是无害的。

未经允许不得转载: » 细数那些鲜为人知的后缀名隐藏技巧

知识来源: www.mottoin.com/90109.html
想收藏或者和大家分享这篇好文章→复制链接地址

“细数那些鲜为人知的后缀名隐藏技巧”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词