发布于:2006-11-28 19:13:28
来自:建筑设计/CAD下载及教程
[复制转发]
假如您收到的邮件附件中有一个看起来是这样的文件:QQ放送.txt,您是不是认为它肯定是纯文本文件?我要告诉您,不一定!它的实际文件名可以是QQ放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注册表里是HTML文件关联的意思。但是存成文件名的时候它并不会显现出来,您看到的就是个.txt文件,这个文件实际上等同于QQ 放送.txt.html.那么直接打开这个文件为什么有危险呢?请看如果这个文件的内容如下:
您可能以为它会调用记事本来运行,可是如果您双击它,结果它却调用了HTML来运行,并且自动在后台开始格式化D盘,同时显示“Windows正在配置系统。Plase不打断这个过程。”这样一个对话框来欺骗您。您看随意打开附件中的.txt的危险够大了吧?
欺骗实现原理:当您双击这个伪装起来的。txt时候,由于真正文件扩展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B},也就是.html文件,于是就会以html文件的形式运行,这是它能运行起来的先决条件。
文件内容中的第2和第 3行是它能够产生破坏作用的关键所在。其中第3行是破坏行动的执行者,在其中可以加载带有破坏性质的命令。那么第 2行又是干什么的呢?您可能已经注意到了第 2行里的“Ws cript”,对!就是它导演了全幕,它是幕后主谋!
Ws cript全称Windows scri pting主人,它是Win98中新加进的功能,是一种批次语言/自动执行工具——它所对应的程序“Wscri pt.exe”是一个脚本语言解释器,位于c:\WINDOWS下,正是它使得脚本可以被执行,就象执行批处理一样。在Windowsscri pting主人脚本环境里,预定义了一些对象,通过它自带的几个内置对象,可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。
全部回复(6 )
只看楼主 我来说两句-
torlon
沙发
楼主你是从哪儿找到这些东东的。有没有WORD格式的。
2006-12-02 16:59:02
赞同0
-
vincent_nk
板凳
识别方法:不要怕,尽管它的迷惑性极大,但是仍然会露出一些马脚:
2006-11-28 19:15:28
赞同0
加载更多回复 举报
1. 它其实是一个对象链接与嵌入对象,并不是附件,选择它时,选择框会不同于选择附件的选择框。点鼠标右键出现的菜单不同。
2.双击打开它时,安全提示与附件的安全提示不同,这点非常重要。这时,应该选择“不”,然后点击鼠标右键,选择“编辑包”,提示是否信任该对象时选择“是”,在对象包装程序的右边内容框中,将现出原形。在本例中,会显示“NOTEPAD.EXE的备份”,文件是否可执行,关键在这里。
3. 因为它不是附件,在选择“文件”→“保存附件”时并无对话框出现。
4. 由于并不是所有的邮件收发软件都支持对象嵌入,所以这类邮件的格式不一定被某些软件识别,如OutLookExpress.但是视野的使用面很广,尤其是在比较大的、有自己邮件服务器的公司,所以还是有必要提醒大家小心嵌入对象,不光是视野,其实词、优秀等支持嵌入对象的软件可以让嵌入对象改头换面以迷惑人。
回复 举报