别掉进危险的文件陷阱 - 学田网络 - 电脑技术学习与交流的田地！

适合读者：入侵爱好者、普通网民
前置知识：无
别掉进危险的文件陷阱
也许在不知不觉中，我们就打开了一个“readme.txt”或者一个.bat批处理文件，你能保证这些文件绝对安全吗？类似的，在.hlp（帮助文件）、.pif（指向DOS的快捷方式）、.lnk（Windows快捷方式）等文件中，也存在着同样的危险，一不小心，我们就有可能掉入这些文件的陷阱。对于身经百战的用户来说，虽然有些文件很容易判断，而其它一些带有“陷阱”的文件就不容易判断了。下面，我们来看看其中的一些典型文件陷阱。
偷梁换柱：从HTML网页文件谈起
HTML文件应该是我们见的最多的文件了，不过“树大招风”，HTML也是最危险的文件格式之一，它有一个调用外部对象脚本运行的功能，能给用户造成了很大的麻烦。
1．HTML文件的关联
下面，我们来看一个普通的例子。现在，我们的邮件里面有一个看起来是这样的文件：“机密文件.txt”，我们能肯定它就是纯文本文件吗？实际上，它的文件名可能“机密文件.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”。而后面的这个后缀就很有学问了，“{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}”在注册表里就是HTML文件关联的意思，等同于“机密文件.txt.html”。双击它，就会调用HTML来运行，说不定已经开始在后台格式化D盘了。
2．WScript与文件陷阱
谈到上述文件的危害，我们就要谈到WScript了。在Windows Scripting Host脚本环境里，通过它自带的几个内置对象，可以实现获取环境变量、创建快捷方式、加载程序、读写注册表等功能。下面我们通过如下的*.vbs文件来说明：
Set so=CreateObject("Scripting.FileSystemObject")
so.GetFile(c:.exe).Copy("e:.exe")
小知识：WScript的全称是“Windows Scripting Host”，它所对应的程序“WScript.exe”是一个脚本语言解释器，位于C:\WINNT\system32，正是它使得脚本可以被执行，效果和执行批处理一样。
我们来详细分析一下上述代码，它可以拷贝文件到指定地点。第一行是创建一个文件系统对象，第二行前面是打开这个脚本文件，“c:.exe”是指明这个程序本身，是一个完整的路径文件名。GetFile函数获得这个文件，Copy函数将这个文件复制到E盘根目录下。这也是大多数VBscript病毒的一个特点，它们在破坏过程中几乎无声无息，运行它们时没有任何提示，可谓是“随风潜入夜，润物细无声”。
3．识别及防范方法
可以看出，禁止相关对象就可以很有效地控制这种代码的传播。用“Regsvr32 scrrun.dll /u”这条命令就可以禁止文件系统对象，此外，在Windows 2000下，双击“我的电脑”图标，然后执行“工具/文件夹选项”命令，选择“文件类型”选项卡，找到“VBS VBScript Script File”选项，并单击［删除］按钮，最后单击［确定］即可。如图1所示。
图1
另外，还可以升级WSH 5.6以防止IE浏览器被恶意脚本修改，就是因为IE 5.5以前版本中的WSH允许攻击者利用JavaScript中的Getobject函数以及Htmlfilr ActiveX对象读取浏览者的注册表，可以在www.microsoft.com下载最新版本的WSH。
天外来客：OutLook中的陷阱文件
1．典型陷阱邮件分析
在Outlook中，我们很容易收到经过改头换面的OLE（Object Linking and Embedding，对象链接与嵌入）对象，和上面的HTML文件类似，它并不是真正的邮件附件。下面是一个很典型的例子：
步骤1：打开OutLook2000，新建一个邮件。选择“格式” 菜单下的“带格式文本”，在邮件正文点击鼠标左键。然后，选择 “插入” 菜单下的“对象”，选择“由文件创建”后的“浏览”。现在，可以选择Windows目录下的Notepad.exe，点击“确定”，在新邮件主体部分就会出现图标。
步骤2：在图标上点击鼠标右键，选择“编辑包”，打开对象包装程序，选择“插入图标”按钮，选择“浏览”。以Windows 2000为例，选择C:\winnt\system\shell32.dll，在当前图标框中选择一个你想要的图标，比方说选择一个文本文件的图标，“确定”，然后选择菜单“编辑”→“卷标”，任意定义一个名字，比方说readme.txt，点击“确定”。如图2所示。
图2

步骤3：退出对象包装程序，在提示是否更新时选择“是”。现在出现的是Readme.txt，一般人会认为它是一个地地道道的文本文件附件。双击这个图标，如果它是一个病毒文件，后果可想而知，而这种情况十分常见。如图3所示。
图3

事实上，当你用OutLook2000收到这样一个邮件时，它会显示这是一个带附件的邮件，当你以为它是一个文本文件附件双击打开时，OutLook会提示对象携带病毒，并可能对计算机造成危害，因此，请确保该对象来源可靠。
2．陷阱邮件防范之道
实际防范的过程中，我们需要明白：它其实是一个OLE对象，并不是附件。双击打开它时，安全提示与附件的安全提示不同，这点非常重要。在选择“文件”→“保存附件”时并无对话框出现。
小提示：由于并非所有的邮件收发软件都支持对象嵌入，所以这类邮件的格式不一定被某些软件识别，如OutLook Express。但是OutLook的使用面很广，因此有必要小心行事。
瞒天过海：SHS碎片文件及防范
这种情形比较常见：双击打开某个文本文件时，系统会闪过一个DOS窗口，然后听到硬盘不停地读写，这就有可能是.shs文件了。
1．SHS文件陷阱的基础知识
SHS文件是一类特殊的OLE（Object Linking and Embedding，对象连接和嵌入）对象，可以由Word文档或Excel电子表格创建。也就是说，我们所输入的命令作为OLE对象嵌入到对象包装程序新建的文件中了，当你在不同文件间复制对象时，Windows是将对象包装成一个碎片对象来进行复制的。因此，一旦我们不是在文件间进行复制粘贴，而是直接将碎片对象粘贴到硬盘上，就会产生一个.SHS文件。这个碎片对象文件保存了原来对象的所具备的功能，原来对象包含的命令同样会被解析执行，这正是其可怕之处！如果在该文件中含有诸如“Format”之类的命令将非常可怕！
2．关于陷阱文件的具体实例
那么，碎片对象到底对用户的计算机会造成什么威胁呢？
步骤1：在硬盘上创建一个Readme.txt，然后我们来制作一个能删除这个测试文件的碎片对象文件。先运行c:/winnt/system32下的对象包装程序Packager.exe。新建一个文件后，打开 “文件” 菜单下的“导入”，这时会弹出一个文件对话框，让你选择一个文件。不用考虑，随便选择一个文件就可以了。
步骤2：然后打开“编辑”菜单下的“命令行”选项，在弹出的命令行输入对话框中输入“cmd.exe /c del d:\readme.txt”，点“确定”。然后在菜单中选择“编辑”→“复制数据包”，如图4所示。
图4

接着，在桌面上点击鼠标右键，在弹出菜单中选择“粘贴”，这时我们可以看到在桌面创建了一个碎片对象文件。双击后，CMD窗口一闪而过后，再到D盘看看，测试文件D:\readme.txt已经被删除了！如果这条命令是Format之类的危险命令，后果可想而知。
3．SHS文件的防范方法
碎片文件的图标和文本文件图标很相似，不过我们可以从注册表中设置使SHS文件的扩展名显现出来。运行注册表编辑器Regedit.exe，在HKEY_CLASSES_ROOT\.shs主键下，将默认值ShellScrap删除，现在双击.SHS文件就不会执行了。如图5所示。
图5

随着病毒文件和恶意文件的不断演变，五花八门的文件陷阱也越来越多，这就需要我们在平时多多留心，了解其运行机制，从而避免掉入这些危害极大的陷阱中。
该文章出自《学田网络》,原文链接：http://www.cnsso.com/read.php?45#entrymore
转载时间是: 2010-09-02 14:15:41 请务必保留此链接，谢谢！