Расширение имени файла очень важно в операционной системе Windows, и оно появляется в конце имени файла. Вы можете не только мгновенно определить тип файла, будь то изображение или исполняемое приложение, но и решить, с какой программой его запускать, основываясь на том, что зарегистрировано в списке программ по умолчанию.
Как правило, следует уделять больше внимания формату исполняемых файлов, например .EXE .COM .SCR .BAT .VBS .PIF и .CMD, поскольку это может быть вредоносное ПО, а не легитимная программа. Например, электронная книга, которая должна иметь расширение PDF или EPUB, не должна быть .EXE, хотя это все еще возможно, если ее обернуть сторонним компилятором электронных книг для защиты от незаконного распространения.
Поскольку пользователи Windows более осторожны с исполняемыми расширениями и меньше обращают внимание на более безопасные расширения, такие как форматы изображений, существует несколько способов заставить неосторожного пользователя думать, что вместо этого EXE-файл является файлом изображения JPG.
1. Скрыть расширения для известных типов файлов
В параметрах папки есть параметр, в котором вы можете скрыть расширение файла, чтобы в проводнике было видно только имя файла, а расширение скрыто. Проблема с этим параметром в том, что по умолчанию опция скрыта, и при наличии двойного расширения может быть обманут менее внимательный пользователь. Пример двойного расширения:
notes.txt.exe
Приведенный выше файл на самом деле является исполняемым файлом, но отображается в виде notes.txt со скрытым .exe из-за настройки параметра папки. Следующим шагом, чтобы файл выглядел более убедительно, является изменение значка файла на значок «Блокнот». Как видно из приведенного ниже примера изображения, он выглядит как обычный текстовый файл.
Если вы измените тип представления на «Подробности», в Проводнике будет очень четко показано, что так называемый файл notes.txt на самом деле является приложением.
Вы можете подтвердить это далее, щелкнув правой кнопкой мыши по файлу, выбрав «Свойства» в контекстном меню и просмотрев «Тип файла», который должен отобразиться. Приложение (.exe),
Это очень старый трюк, и несколько антивирусных приложений, таких как COMODO, предупредит вас, когда обнаружит двойное расширение в имени файла.
Простое решение для предотвращения попадания в трюк с двойным расширением – отключитьСкрыть расширения для известных типов файлов»Из панели управления> Свойства папки> вкладка« Просмотр ».
2. Переопределение справа налево
Этот трюк использует юникод справа налево, чтобы изменить последние шесть символов, чтобы расширение было подделано. Например, файл notes.exe можно переименовать в notesexe.txt. Хотя расширение файла четко отображается как .txt в Проводнике, операционная система Windows по-прежнему распознает файл как приложение.
Поскольку символ переопределения справа налево не может быть набран с клавиатуры и отображается только в программе «Карта символов» в Windows, можно просто загрузить бесплатную стороннюю программу под названием BabelMap, чтобы сгенерировать символ RTLO для копирования в буфер обмена и вставить его, когда переименование файла.
К счастью, большинство основных веб-браузеров добавили в черный список символ переопределения справа налево, чтобы правильные расширения файлов отображались правильно, когда пользователь пытается загрузить файл с поддельным расширением, используя трюк RTLO. Помимо этого, использование представления «Подробности» в проводнике может значительно помочь вам определить правильный тип файла.
3. Программные эксплойты
Старая версия WinRAR 4.20 уязвима для подделки имени файла и расширения. Это означает, что вы можете изменить ZIP-файл, созданный WinRAR 4.20, используя шестнадцатеричный редактор, чтобы показать другое имя файла и расширение в графическом интерфейсе, но другое другое расширение, когда он запускается непосредственно из программы. Примером является файл notes.exe, сжатый в notes.zip с использованием WinRAR 4.20. Затем с помощью шестнадцатеричного редактора перейдите в конец файла и измените файл notes.exe на notes.txt.
Открытие файла notes.zip в WinRAR 4.20 теперь покажет заархивированный файл как поддельный notes.txt вместо notes.exe.
Двойной щелчок по файлу подделки из WinRAR GUI запустит файл как приложение. Однако люди, извлекающие файл, будут защищены от этого подделки, поскольку увидят, что извлекается исполняемый (.exe) файл, а не текстовый (.txt) файл.
WinRAR 5 и выше был исправлен из этого эксплойта. Поэтому всегда рекомендуется обновлять программное обеспечение, даже если оно не связано с Интернетом.