卡饭完全防毒杀毒标准手册.docxVIP

今天，我们的第一课就算开始了……讲神马呢？就从天天都要打交道的文件名以及扩展名开始。我相信，对于文件名和扩展，你一定是既熟悉又陌生的。看看对于你熟悉的伙伴，你又了解多少？下面先来看几张熟悉的截图……没错，1——5号都是大家熟悉的文件，分别是可执行文件，文本文件，网页文件，图片和office文件，区别嘛，你看扩展名不一样…… 啥？不知道扩展名是什么？OK，众所周知，在计算机里，每一个文件都有自己的文件名和扩展名。如QQ.exe , QQ就是文件名，中间以. 分开，后面的 exe就是扩展名。扩展名是操作系统用来标志文件格式的一种机制，换句话说，就是标识这一类扩展名的文件用什么程序去打开。当然，同时加上一个系统默认的图标来标记……（注意，扩展名只能说明用什么程序打开文件，无法说明文件本身是什么类型的文件，这点非常重要……）终于，有童鞋提问了：“那个6号看起来很奇怪啊，图标不对嘛，不像照片…… 对喽！不过只对了一半……关于文件的扩展名，windows系统默认设置是隐藏的。让我们来显示文件扩展名：依次打开我的电脑——工具——文件夹选项——隐藏已知文件的扩展名，然后这个不要选中（把勾去掉，确定）然后……nani？！这就是猫腻所在——所谓的双后缀！其实只有最后那个exe是真的后缀，jpg只是前面名称的一部分。（注意，其实我们说的可执行文件不只是exe，还有 .sys文件 .com文件 .bat文件等，不过sys一般不能独立运行。其中最有欺骗性的就是，此文件后缀其实是com，如果有这样的文件名，可别当作网址。除此之外，vbs，reg这种可执行的脚本也要注意）接着在虚拟机中把此文件跑一跑……（不用担心，虚拟机中的东东与实际的电脑隔离，基本没有影响……虚拟机其实很神奇的，想进一步学习的，欢迎前来卡饭论坛虚拟机交流区！）双击6号文件，结果……悲剧的IE主页……看来果然不是好东西。看来显示扩展名是多么要紧，看到这种双后缀，还不赶紧干掉文件，以绝后患（估计没有人愿意运行……）。那么7号呢？已经显示扩展名了，还是如此，扩展名，图标似乎都很正常……一样，还是拿到虚拟机里运行一番……然后……照片并没有出现，而是这个更加邪恶！右边的IE图标是假的，还有万恶的淘宝图标……应该有同学见过，并且深恶痛绝吧。于是问题出现了——到底哪里不对劲？谜底揭晓，选择7号文件，右键属性：果然，文件类型是应用程序，根本不是什么照片。注意上方的文件名，有没有觉得不太对劲？这就是传说中的unicode反转技术。说来简单，就是改变文件名和后缀中一部分的显示顺序：比如，文件名是XXXXjpg.exe，结果后面部分的显示顺序颠倒，变成XXXXexe.jpg实际上仍然是可执行文件。还有图标，前面说了，那个只是照片默认的图标，实际可以通过工具修改，想改成什么样就是什么样。这一切对病毒作者来说都不是难事，但只要在XXXX部分起一个诱惑性的名字，可以想象到杀伤力有多大！于是，对于某些你下载或者别人发给你的文件来说，显示扩展名和关注文件的属性就比较重要了，当然，对于莫名其妙有人给你的文件，能不运行就不运行。怀疑有问题的，马上干掉。当然，我们欢迎来卡饭把可疑文件提交给我们。以上病毒，一个来自通过QQ传播的“我的照片”，一个就是最近猖獗的淘宝诈骗木马，有一个类似的例子就是有人收到此类文件，运行后，病毒修改了淘宝的付款方的信息，然后钱到了骗子手中……以上主要是扩展名的问题，关于文件名的防范，我基本引用了卡饭某牛人的著作：——————————————————————————————————本文不是说哪个文件是病毒，而是以我的经验概括哪些文件长的像病毒，是一种以貌取人的方法哈。我个人推荐，不要省略掉常见文件名的后缀。（我的电脑——工具——文件夹选项——隐藏已知文件的扩展名，这个不要选中）1、欺诈、伪装类 1.1伪装知名网站：举例：文件名叫的com文件淘宝商城.Lnk(指向钓鱼页)1.2伪装系统文件举例：1sass.exe，exp1orer.exe，svch0st.exe，IE.exe，Internat Explorer.lnk，（注意字母l和数字1的区别，数字0和字母O，这种十分狡猾，还有一些看起来像系统文件的名称，要小心） 1.3伪装知名软件举例：假的qq.exe(假IE类)IE.exe，Internat Explorer.lnkAdobe_Flash_Playe.exe1.4伪装安装文件举例：假的dnf_setup.exe,假的keygen.exe(包含setup的文件名得格外当心)1.5伪装生理学、赌博等举例：成人影院.exe,洗澡偷拍.exe，fucking_sexygirl.mepg.exe，pornoplayer.exe2、古怪类2.1、过于简单的名字举例：1.exe，2.exe，1.reg，2.