url文件详解、恶意利用及其防范
作者:o0白月娜0o 来自:习科(Silic)信息技术 地址:http://www.blackbap.com/bbs 记得以前某牛——我记得是“网络凡人”(据某人说是当年电脑报黑客营版块的高人之一)写的吧,reg文件的结构及其使用 PS:我可能记错了作者,原作者表骂我 本人不敢跟此网牛比,倒是也愿意跟大家分享下自己新学的 文章限于水平,写的深度不够,大家表骂我 好了,开始正文 首先,我们新建一个文本文档,“新建文本文档.txt“ 重命名为”XX.url”——看到了什么???对,扩展名没了!!只剩下一个IE的icon图标了。并且最重要的是,右键重命名无法修改扩展名 这样我们就可以利用url文件来制作简单的 其实url文件的结构非常简单 头部: [InternetShortcut] 正文: URL=http://www.blackbap.com/bbs/index.php Modified=F00F43B3A875C601D9 扩展: IconFile=C:/WINDOWS/system32/SHELL32.dll /*后面接图标文件路径及文件*/ IconIndex=123 /*其中“iconindex=n”表示使用的图标是指定文件中的第几个图标*/ 注:shell.dll里面放置了Windows自带的所有图标,可以使用eXeScope打开查看“资源” 头部不变,url=这一项我就不解释了 至于Modified记录页面最后修改时间的HTTP头信息的,只要位数对了就好了,注意字母大写! 作用跟我们个人没关系。多数用于搜索引擎的搜索。例如谷歌要看看以前抓去的页面是不是变化了,看看Modified值变了没有就好了 例如: [InternetShortcut] URL=http://www.blackbap.com/index.php Modified=F00F43B3A875C601D9 恶意操作: 举个例子吧 iconfile=C:/windows/regedit.exe iconindex=1 保存后刷新,看看,成了注册表了 如果我把它换成“我的电脑”图标,放到某机器上 跨刷流量啊 某番茄:奇怪,这是什么病毒,打开我的电脑就成了某网页,怎么搞得??? 当然,如果这个url挂马了,呵呵,这个url文件不会被杀的,这东西,虽然没有流氓好用,但是用起来比流氓还流氓 有点:伪装性 缺点:易处理 解决方法:这还用我教??删掉呗!! 我见过华夏某广告毒,将“我的电脑”隐藏,居然放上url 删一次出一次,这东西还没法抑制再生!!唉~处理病毒母本都费劲——木本杀软不报,因为恶意程度不够!!只能手动清除,一次一次的用运行打开文件夹——麻烦! 因为“我的电脑”“我的文档”没有url,隐藏成他们再好不过了 url文件的扩展用法: 保存session 这个我就不详细讲了 例如百度wap贴吧wapp.baidu.com,手机登陆后有个"?sid=XXXXXXXXXXXXXXXXXXXXXXXXXXX" 这个东西以前存在漏洞,当然,发现者自然是我们习科信息技术的成员咯~~ 保存之后就相当于各手机登陆书签,存到手机后可用蓝牙互传——当然我说的这个用法是个例子,其实真正用起来不方便,再说现在百度已经修复了这个问题,用起来更麻烦 以上那一段当我没说好了!! 很多网站验证使用伪session验证的,所以这个东西,手机入侵我觉得不错~~ 好了,就这么多,以后补充 PS:文中介绍方法不得用于违法行为!! |