3 วิธีในการปลอมนามสกุลไฟล์ปลอมใน Windows

2019-02-03 12:06:54
หลัก·คำแนะนำทางเทคนิค·3 วิธีในการปลอมนามสกุลไฟล์ปลอมใน Windows

นามสกุลไฟล์เป็นสิ่งสำคัญมากในระบบปฏิบัติการ Windows และจะปรากฏที่ส่วนท้ายของชื่อไฟล์ ไม่เพียง แต่คุณสามารถบอกได้ทันทีว่ารูปแบบไฟล์ประเภทใดไม่ว่าจะเป็นรูปภาพหรือแอปพลิเคชั่นที่ใช้งานได้ Windows ยังสามารถตัดสินใจว่าจะเปิดใช้งานโปรแกรมใดตามด้วยสิ่งที่ลงทะเบียนไว้ในรายการโปรแกรมเริ่มต้น

โดยทั่วไปคุณควรให้ความสำคัญกับรูปแบบไฟล์ปฏิบัติการเช่น. EXE .COM .SCR .BAT .VBS .PIF และ. CMD เพราะอาจเป็นมัลแวร์แทนโปรแกรมที่ถูกกฎหมาย ตัวอย่างเช่น ebook ที่ควรอยู่ในส่วนขยาย PDF หรือ EPUB ไม่ควรเป็น. EXE แม้ว่าจะยังเป็นไปได้ถ้ามันถูกห่อด้วยคอมไพเลอร์ ebook ของบุคคลที่สามเพื่อป้องกันการแจกจ่ายที่ผิดกฎหมาย

เนื่องจากผู้ใช้ Windows มีความระมัดระวังในการใช้ส่วนขยายที่ดำเนินการได้และให้ความสนใจน้อยลงกับส่วนขยายที่ปลอดภัยกว่าเช่นรูปแบบรูปภาพมีสองวิธีที่จะหลอกลวงผู้ใช้ที่ไม่ประมาทในการคิดว่าไฟล์ EXE เป็นไฟล์ภาพ JPG แทน 1. ซ่อนนามสกุลสำหรับไฟล์ประเภทที่รู้จัก

มีการตั้งค่าในตัวเลือกโฟลเดอร์ที่คุณสามารถซ่อนนามสกุลไฟล์เพื่อให้มองเห็นเฉพาะชื่อไฟล์ใน Explorer ในขณะที่นามสกุลถูกซ่อนอยู่ ปัญหาเกี่ยวกับการตั้งค่านี้คือตัวเลือกเริ่มต้นถูกตั้งค่าให้ซ่อนและผู้ใช้ที่ระมัดระวังน้อยกว่าสามารถถูกหลอกได้เมื่อมีนามสกุลคู่ ตัวอย่างของนามสกุลคู่คือ:

notes.txt.exe

ไฟล์ข้างต้นเป็นไฟล์เรียกทำงานจริง แต่แสดงเป็น notes.txt โดยซ่อน. exe ไว้เนื่องจากการตั้งค่าตัวเลือกโฟลเดอร์ ขั้นตอนต่อไปที่จะทำให้ไฟล์ดูน่าเชื่อถือยิ่งขึ้นคือเปลี่ยนไอคอนไฟล์เป็นไอคอน Notepad ดังที่คุณเห็นจากภาพตัวอย่างด้านล่างดูเหมือนว่าไฟล์ข้อความปกติ

หากคุณเปลี่ยนประเภทมุมมองเป็น“ รายละเอียด” จะแสดงอย่างชัดเจนใน Explorer ว่าไฟล์ notes.txt นั้นเป็นแอปพลิเคชั่น

คุณสามารถยืนยันเพิ่มเติมได้โดยคลิกขวาที่ไฟล์เลือกคุณสมบัติจากเมนูบริบทและดู“ ประเภทของไฟล์” ซึ่งควรแสดง Application (.exe)

นี่เป็นกลลวงที่เก่ามากและแอปพลิเคชันป้องกันไวรัสบางตัวเช่น COMODO จะเตือนคุณเมื่อตรวจพบส่วนขยายสองเท่าในชื่อไฟล์

ทางออกที่ง่ายในการป้องกันไม่ให้คุณตกอยู่ในเคล็ดลับการขยายสองครั้งคือการปิดการใช้งานตัวเลือก“ ซ่อนนามสกุลไฟล์ที่รู้จัก ” จากแผงควบคุม> ตัวเลือกโฟลเดอร์> แท็บมุมมอง


2. จาก ขวาไปซ้ายแทนที่

เคล็ดลับนี้ใช้ยูนิโค้ดจากขวาไปซ้ายเพื่อย้อนกลับอักขระหกตัวสุดท้ายเพื่อให้ส่วนขยายปลอมแปลง ตัวอย่างเช่นไฟล์ notes.exe สามารถเปลี่ยนชื่อเป็น notesexe.txt แม้ว่านามสกุลไฟล์จะแสดงอย่างชัดเจนเป็น. txt ใน Explorer ระบบปฏิบัติการ Windows ยังคงจดจำไฟล์ดังกล่าวเป็นแอปพลิเคชัน

เนื่องจากไม่สามารถพิมพ์อักขระจากขวาไปซ้ายได้จากแป้นพิมพ์และแสดงเฉพาะในโปรแกรม Character Map ที่พบใน Windows เราสามารถดาวน์โหลดโปรแกรมบุคคลที่สามฟรีที่เรียกว่า BabelMap เพื่อสร้างอักขระ RTLO สำหรับคัดลอกไปยังคลิปบอร์ดและวางเมื่อ การเปลี่ยนชื่อไฟล์

โชคดีที่เว็บเบราว์เซอร์ส่วนใหญ่ได้เพิ่มตัวอักษรขึ้นไปทางด้านขวาของบัญชีดำเพื่อให้ส่วนขยายของไฟล์ที่ถูกต้องปรากฏขึ้นอย่างถูกต้องเมื่อผู้ใช้พยายามดาวน์โหลดไฟล์ที่มีนามสกุลปลอมโดยใช้เคล็ดลับ RTLO นอกเหนือจากนั้นการใช้มุมมอง "รายละเอียด" ใน Explorer สามารถช่วยคุณกำหนดประเภทไฟล์ที่ถูกต้องได้อย่างมาก


3. การ ใช้ประโยชน์จากซอฟต์แวร์

WinRAR 4.20 รุ่นเก่านั้นมีความเสี่ยงต่อการปลอมแปลงชื่อไฟล์และส่วนขยาย ซึ่งหมายความว่าคุณสามารถแก้ไขไฟล์ ZIP ที่สร้างโดย WinRAR 4.20 โดยใช้ตัวแก้ไขฐานสิบหกเพื่อแสดงชื่อไฟล์และนามสกุลที่แตกต่างกันใน GUI แต่เป็นนามสกุลอื่นที่แตกต่างกันเมื่อเรียกใช้โดยตรงจากโปรแกรม ตัวอย่างคือไฟล์ notes.exe บีบอัดเป็น notes.zip โดยใช้ WinRAR 4.20 จากนั้นใช้ตัวแก้ไขฐานสิบหกไปที่จุดสิ้นสุดของไฟล์และแก้ไข notes.exe เป็น notes.txt

การเปิดไฟล์ notes.zip ใน WinRAR 4.20 จะแสดงไฟล์ที่เก็บถาวรเป็น notes.txt ที่เป็น spoofed แทนที่จะเป็น notes.exe

ดับเบิ้ลคลิกที่ไฟล์หลอกจาก WinRAR GUI จะเรียกใช้ไฟล์เป็นแอปพลิเคชั่น อย่างไรก็ตามผู้ที่แยกไฟล์จะปลอดภัยจากการโกงการโกงนี้เนื่องจากพวกเขาจะเห็นว่ามันเป็นไฟล์ปฏิบัติการ (.exe) ที่ถูกแตกออกมาไม่ใช่ไฟล์ text (.txt)

WinRAR 5 ขึ้นไปได้รับการแก้ไขจากช่องโหว่นี้แล้ว ดังนั้นจึงแนะนำให้ปรับปรุงซอฟต์แวร์ของคุณให้ทันสมัยอยู่เสมอแม้ว่าจะไม่ใช่แอพพลิเคชั่นที่เกี่ยวข้องกับอินเทอร์เน็ต

ตัวเลือกของบรรณาธิการ