• 東草莓视频app官网金屬珠寶U盤定製
  • 煜坤支持金屬工藝飾品個性化定製
  • 珠寶U盤 金屬製品代加工
    186-6411-2981
    熱門關鍵詞:珠寶U盤
    聯係方式
    全國服務熱線:186-6411-2981

    李先生:0769-3332-7959
    郵箱:jujurichard@163.com
    地址:廣東省東莞市長安鎮烏沙社區民營工業區民一路10號

    解析珠寶U盤病毒傳播之文件欺騙

    來源:東莞市長安草莓视频app官网金屬工藝製品廠   發布時間:2018-01-10   點擊量:300

    現如今,珠寶U盤作為便攜的存儲設備,方便人們的同時,也成為了黑客傳播病毒的載體。珠寶U盤病毒傳播,從早期利用 Autorun.inf運行的珠寶U盤病毒,到震網病毒的0day 利用,再到近幾年的 BADUSB,都曾是病毒傳播的方式。

    珠寶U盤病毒傳播


    第一行的文件為原來的文件,而且屬性已經改為隱藏,第二行為替換後的文件。當用戶想使用原來的文件時,由於原來的文件已經隱藏,所以同名的新創建的文件被點擊。這時,新創建的文件不僅會打開原來的文件,還能繼續在後台運行。對於用戶來說,原來的文件已經打開了,並未見到任何異常。而對於攻擊者而言,隻要設計好新創建文件的程序,就能利用一直運行的新創建的文件程序來完成入侵主機的攻擊。


    程序設計流程


    整個程序的設計流程是相當簡單的,珠寶U盤盤符獲取->選中被替換文件並將其隱藏 ->替換文件程序設計。珠寶U盤盤符獲取利用常用的API函數即可實現,關鍵在第二部分如何進行被替換文件的選擇,以及第三部分替換文件程序如何設計才更具有欺騙性。


    詳細分析


    1.珠寶U盤盤符的獲取


    利用GetLogicalDrives()獲取磁盤設備,再利用GetDriveType()判斷是否是 珠寶U盤設備從而獲得珠寶U盤盤符。


    2.被替換文件的選擇


    這裏是設計的關鍵,首先草莓视频app官网要考慮替換什麽樣的文件,而什麽樣的文件又該優先替換。常用的文件類型如。exe、。doc/.docx 、 .txt、。ppt、。pdf 是草莓视频app官网首先考慮替換掉的,因為這些文件放入 珠寶U盤是最可能被使用的。同時,從文件替換優先級來思考,則由文件的修改時間來排列這些文件被替換的優先順序是合理且有效的。最後考慮到設計的可行性,草莓视频app官网將文件名長度也納入文件被替換優先級的影響因素,因為草莓视频app官网的替換文件為一個可執行程序所以必須以 .exe 結尾,當用戶未開啟顯示文件後綴的時候,這個沒有任何影響。反之,多出來的 .exe後綴還是極為顯眼的,這時一個長的文件名就起到作用了。有心的朋友應該會發現,在日常使用電腦時,過長的文件名會自動省略文件名末尾,這時自然就看不到文件多出來的後綴了。因此對於被替換文件的優先級選擇,首先考慮文件名長度,其次考慮文件最近修改時間。


    判斷文件替換優先級時先判斷文件名長度,如果大於指定的長度,這裏為40個字符。因為正常電腦不經過設置,超過40個字符長度,文件名末尾就會被隱藏。


    這時就可以實現文件欺騙而不易使用戶察覺。因此,程序運行時先遍曆珠寶U盤根目錄下的所有文件和文件夾,一旦發現長度滿足的就馬上針對該文件進行替換。但是當珠寶U盤根目錄中沒有符合長度的文件存在時,就以文件修改日期為優先級判斷標準,最近改動過的文件是最有可能被用戶再次使用的,這種情況下隻要用戶未開啟文件類型顯示,或者用戶不夠細心,也可以實現文件欺騙。


    循環取出每個文件的最近修改時間,再利用簡單的遞歸比較,就能獲得最新修改的文件,然後進行替換。


    最後不得不說的就是用來進行文件替換程序的設計。考慮到文件必須具有欺騙性,名字部分除了末尾的必不可少的。exe後綴以外,其他都必須一樣。還有就是圖標的問題,如果一個word文檔的圖標,突然變成了一個可執行程序的圖標,那一眼就能被發現。所以用來進行文件替換的文件必須具有欺騙性的圖標。


    除此之外,當用戶點擊了替換後的文件,必須能啟動原來被隱藏的文件,這樣才能做到了無痕跡,所以替換文件程序中必須包括創建進程的功能。本文是利用ShellExecute()函數創建進程的。這樣就可以在進程創建代碼後麵隨意添加自己需要的功能,達到入侵主機而不被用戶發現的目的。至此,一個文件欺騙入侵技術的整個流程就實現了。


    總結


    利用文件欺騙的方法來實現入侵主機的方法,雖然沒有什麽技術上的難點,但勝在易實現,且具有很強的迷惑性,讓人防不勝防。針對這種類型的珠寶U盤病毒,最好方式就是養成打開文件名後綴,並打開顯示隱藏文件選項的習慣,不輕易運行 U 盤中的可執行文件。

    熱門標簽:解析珠寶U盤病毒傳播之文件欺騙

    谘詢熱線

    186-6411-2981

    東莞市草莓视频app官网金屬工藝製品二維碼

    草莓视频app官网二維碼

    Copyright © 2017 東莞市草莓视频app官网金屬工藝製品有限公司 All Reserved版權所有

    備案編號:粵ICP備17071815號