一、修改图标伪装
由于用户对TXT格式文件的图标非常熟悉,这样就放松了警惕。一些病毒、木马就利用这样的道理,将其图标伪装成记事本文件图标,类似的手段经常被采用。不过它们一般会伪装成一些游戏、动画来引诱用户运行,但是伪装成记事本文件更容易让用户上当。
对于来历不明的这一类文件,例如邮箱中附件,在查看之前不要先直接双击打开。你可以右击打开其属性窗口,然后在“常规”标签中,查看其文件类型,如果文件类型为“应用程序”,那么就证明这是不安全的;如果类型为“文本文件”,那么则可以放心打开。对于这一类文件,也可以直接采取在“记事本”工具中通过“文件”菜单下的“打开”命令来打开查看,这也不会被感染。
二、修改扩展名伪装
这一类伪装只是在修改图标的方式上稍加改动,除将文件图标改成记事本图标以外,还修改了文件的扩展名。它的通常做法是将文件命名为1.txt.exe,这样用户在一般情况下看到的就是1.txt名称,因为最后的exe扩展名被自动隐藏了,一看到是txt文件,毫不犹豫的就打开了,这样自然就掉入陷阱了。
因此,建议用户在“我的电脑”中打开“工具”菜单下的“文件夹选项”命令,将打开文件夹选项窗口切换到“查看”标签,然后把“隐藏已知文件类型的扩展名”项取消,这样我们就能够看到完整的文件名了。
三、邮件附件伪装
我们知道,很多病毒都是通过邮件来传播的。而我们前面介绍的两种伪装方法一般都需要借助第三方工具的帮助,才能达到伪装的效果。事实上,还有一种比较普遍的伪装方法,那么就是借助Outlook来完成。
那么它到底是怎样伪装的呢?其实方法很简单,启动Outlook后新建一个邮件,然后打开“格式”菜单下的“带格式文本”命令,接下来再通过“插入”菜单下的“对象”命令,将要插入的病毒文件、木马文件等程序添加进来。
添加成功后会在邮件中看到其文件名和程序的图标,这时我们只需要右击该图标,并选择“编辑对象包”命令,在打开的窗口中单击“插入图标”按钮,然后选择系统目录下的\System32\Shell32.dll,再通过“编辑”菜单下的“标签”命令,起一个名字,例如“公告.txt”,这样保存设置后邮件中看到的文件就变成了记事本图标,文件名也变成了公告.txt。
对于这种伪装方式,由于它并不是以附件的形式存在的,而是嵌入其中的OLE对象,因此一般用户并不会防范它。根据其制作方法,我们在碰到这一类嵌入在邮件中的文件时,可以直接通过右击,选择“编辑包”命令,这样在打开的窗口中就可以看到其伪装的真实内容了。
四、恶意碎片伪装
这一类伪装方式危险最大,也不容易被发现,因为碎片文件在Windows中是是合法的文件,而且对于杀毒软件也查不出来。
当然,系统自动生成的碎片文件是没有什么危害的,但是经过人工编辑修改的碎片文件就另当别论。它的伪装方式与是第二、三种方式的结合体。为了让读者认识到其危害,我们简单介绍其操作方法。首先新建一个记事本文件,可以在里面随便添加一个一些内容;然后再打开附件中的写字板工具,再通过“插入”菜单下的“对象”命令,将新建的记事本加入其中;再单击选中加入的记事本图标,打开“编辑”菜单中“包对象”下的“编辑包”命令,在打开的对象包装程序中,用户则可以通过“编辑”菜单下的“命令行”命令来添加要运行的程序,例如“cmd cmd /c “del d:\*.*”,这个语句的作用就是删除D盘所有内容;再后再通过前面的方法修改其图标和标签名称。最后只需要在写字板中打开“文件”菜单下的“更新”命令,再把修改后的嵌入对象拖到桌面上,这样一个碎片文件就制作好了,但是用户看到的却是普通的记事本图标和文件名,而碎片文件的扩展名SHS却被自动隐藏了。
对于这一类伪装方式,其识别方法和前面是一样的,可以取消隐藏扩展名的方式来避免。除此之外,我们也可以运行regedit打开注册,然后展开HKEY_CLASSES_ROOT\ShellScrap,将右侧的“NeverShowExt”键删除,这样即使隐藏扩展名,但是碎片文件的SHS扩展名对不被隐藏;同样的道理,也可以在HKEY_CLASSES_ROOT\exefile下新建AlwaysShowExt字符串值,这样就可以让EXE扩展名一直显示。
另外用户还可以打开文件夹选项窗口,在“文件类型”标签中已注册的对文件类型中找到碎片对象,然后单击“高级”按钮,在打开的窗口中再单击“更改图标”按钮,将碎片文件的默认的记事本图标改成其它样式的新图标,这样也能够增加用户的警惕性。
由于用户对TXT格式文件的图标非常熟悉,这样就放松了警惕。一些病毒、木马就利用这样的道理,将其图标伪装成记事本文件图标,类似的手段经常被采用。不过它们一般会伪装成一些游戏、动画来引诱用户运行,但是伪装成记事本文件更容易让用户上当。
对于来历不明的这一类文件,例如邮箱中附件,在查看之前不要先直接双击打开。你可以右击打开其属性窗口,然后在“常规”标签中,查看其文件类型,如果文件类型为“应用程序”,那么就证明这是不安全的;如果类型为“文本文件”,那么则可以放心打开。对于这一类文件,也可以直接采取在“记事本”工具中通过“文件”菜单下的“打开”命令来打开查看,这也不会被感染。
二、修改扩展名伪装
这一类伪装只是在修改图标的方式上稍加改动,除将文件图标改成记事本图标以外,还修改了文件的扩展名。它的通常做法是将文件命名为1.txt.exe,这样用户在一般情况下看到的就是1.txt名称,因为最后的exe扩展名被自动隐藏了,一看到是txt文件,毫不犹豫的就打开了,这样自然就掉入陷阱了。
因此,建议用户在“我的电脑”中打开“工具”菜单下的“文件夹选项”命令,将打开文件夹选项窗口切换到“查看”标签,然后把“隐藏已知文件类型的扩展名”项取消,这样我们就能够看到完整的文件名了。
三、邮件附件伪装
我们知道,很多病毒都是通过邮件来传播的。而我们前面介绍的两种伪装方法一般都需要借助第三方工具的帮助,才能达到伪装的效果。事实上,还有一种比较普遍的伪装方法,那么就是借助Outlook来完成。
那么它到底是怎样伪装的呢?其实方法很简单,启动Outlook后新建一个邮件,然后打开“格式”菜单下的“带格式文本”命令,接下来再通过“插入”菜单下的“对象”命令,将要插入的病毒文件、木马文件等程序添加进来。
添加成功后会在邮件中看到其文件名和程序的图标,这时我们只需要右击该图标,并选择“编辑对象包”命令,在打开的窗口中单击“插入图标”按钮,然后选择系统目录下的\System32\Shell32.dll,再通过“编辑”菜单下的“标签”命令,起一个名字,例如“公告.txt”,这样保存设置后邮件中看到的文件就变成了记事本图标,文件名也变成了公告.txt。
对于这种伪装方式,由于它并不是以附件的形式存在的,而是嵌入其中的OLE对象,因此一般用户并不会防范它。根据其制作方法,我们在碰到这一类嵌入在邮件中的文件时,可以直接通过右击,选择“编辑包”命令,这样在打开的窗口中就可以看到其伪装的真实内容了。
四、恶意碎片伪装
这一类伪装方式危险最大,也不容易被发现,因为碎片文件在Windows中是是合法的文件,而且对于杀毒软件也查不出来。
当然,系统自动生成的碎片文件是没有什么危害的,但是经过人工编辑修改的碎片文件就另当别论。它的伪装方式与是第二、三种方式的结合体。为了让读者认识到其危害,我们简单介绍其操作方法。首先新建一个记事本文件,可以在里面随便添加一个一些内容;然后再打开附件中的写字板工具,再通过“插入”菜单下的“对象”命令,将新建的记事本加入其中;再单击选中加入的记事本图标,打开“编辑”菜单中“包对象”下的“编辑包”命令,在打开的对象包装程序中,用户则可以通过“编辑”菜单下的“命令行”命令来添加要运行的程序,例如“cmd cmd /c “del d:\*.*”,这个语句的作用就是删除D盘所有内容;再后再通过前面的方法修改其图标和标签名称。最后只需要在写字板中打开“文件”菜单下的“更新”命令,再把修改后的嵌入对象拖到桌面上,这样一个碎片文件就制作好了,但是用户看到的却是普通的记事本图标和文件名,而碎片文件的扩展名SHS却被自动隐藏了。
对于这一类伪装方式,其识别方法和前面是一样的,可以取消隐藏扩展名的方式来避免。除此之外,我们也可以运行regedit打开注册,然后展开HKEY_CLASSES_ROOT\ShellScrap,将右侧的“NeverShowExt”键删除,这样即使隐藏扩展名,但是碎片文件的SHS扩展名对不被隐藏;同样的道理,也可以在HKEY_CLASSES_ROOT\exefile下新建AlwaysShowExt字符串值,这样就可以让EXE扩展名一直显示。
另外用户还可以打开文件夹选项窗口,在“文件类型”标签中已注册的对文件类型中找到碎片对象,然后单击“高级”按钮,在打开的窗口中再单击“更改图标”按钮,将碎片文件的默认的记事本图标改成其它样式的新图标,这样也能够增加用户的警惕性。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
