教你识别TXT文件陷阱

hackxy

这文章不错！大家可以学习学习！

lsp541391630

顶下！！！不错不错！！

75289346

教你识别TXT文件陷阱

--------------------------------------------------------------------------------


说起病毒、木马，那可真是老鼠过街人人喊打。饱受折磨的用户早知知道，对于来历不明的文件需持怀疑态度，尤其是EXE之类的文件更不会随意去运行。但是对于TXT这样的纯文本文件来说，大家还是比较放心的，一般对于此类文件都会不假思索的直接打开。殊不知，有很多病毒、木马正是披着善良的羊皮，巧妙布设陷阱，来引诱人们。这样说或许有很多人不相信，TXT文件不是一直都很安全的吗！怎么可能暗藏陷阱呢？今天我们就来和大家一起看看它们所采用的欺骗手段吧。

一、修改图标伪装

由于用户对TXT格式文件的图标非常熟悉，这样就放松了警惕。一些病毒、木马就利用这样的道理，将其图标伪装成记事本文件图标，类似的手段经常被采用。不过它们一般会伪装成一些游戏、动画来引诱用户运行，但是伪装成记事本文件更容易让用户上当。

对于来历不明的这一类文件，例如邮箱中附件，在查看之前不要先直接双击打开。你可以右击打开其属性窗口，然后在“常规”标签中，查看其文件类型，如果文件类型为“应用程序”，那么就证明这是不安全的；如果类型为“文本文件”，那么则可以放心打开。对于这一类文件，也可以直接采取在“记事本”工具中通过“文件”菜单下的“打开”命令来打开查看，这也不会被感染。

二、修改扩展名伪装

这一类伪装只是在修改图标的方式上稍加改动，除将文件图标改成记事本图标以外，还修改了文件的扩展名。它的通常做法是将文件命名为1.txt.exe，这样用户在一般情况下看到的就是1.txt名称，因为最后的exe扩展名被自动隐藏了，一看到是txt文件，毫不犹豫的就打开了，这样自然就掉入陷阱了。

因此，建议用户在“我的电脑”中打开“工具”菜单下的“文件夹选项”命令，将打开文件夹选项窗口切换到“查看”标签，然后把“隐藏已知文件类型的扩展名”项取消，这样我们就能够看到完整的文件名了。

三、邮件附件伪装

我们知道，很多病毒都是通过邮件来传播的。而我们前面介绍的两种伪装方法一般都需要借助第三方工具的帮助，才能达到伪装的效果。事实上，还有一种比较普遍的伪装方法，那么就是借助Outlook来完成。

那么它到底是怎样伪装的呢？其实方法很简单，启动Outlook后新建一个邮件，然后打开“格式”菜单下的“带格式文本”命令，接下来再通过“插入”菜单下的“对象”命令，将要插入的病毒文件、木马文件等程序添加进来。

添加成功后会在邮件中看到其文件名和程序的图标，这时我们只需要右击该图标，并选择“编辑对象包”命令，在打开的窗口中单击“插入图标”按钮，然后选择系统目录下的\\System32\\Shell32.dll，再通过“编辑”菜单下的“标签”命令，起一个名字，例如“公告.txt”，这样保存设置后邮件中看到的文件就变成了记事本图标，文件名也变成了公告.txt。

对于这种伪装方式，由于它并不是以附件的形式存在的，而是嵌入其中的OLE对象，因此一般用户并不会防范它。根据其制作方法，我们在碰到这一类嵌入在邮件中的文件时，可以直接通过右击，选择“编辑包”命令，这样在打开的窗口中就可以看到其伪装的真实内容了。

四、恶意碎片伪装

这一类伪装方式危险最大，也不容易被发现，因为碎片文件在Windows中是是合法的文件，而且对于杀毒软件也查不出来。

当然，系统自动生成的碎片文件是没有什么危害的，但是经过人工编辑修改的碎片文件就另当别论。它的伪装方式与是第二、三种方式的结合体。为了让读者认识到其危害，我们简单介绍其操作方法。首先新建一个记事本文件，可以在里面随便添加一个一些内容；然后再打开附件中的写字板工具，再通过“插入”菜单下的“对象”命令，将新建的记事本加入其中；再单击选中加入的记事本图标，打开“编辑”菜单中“包对象”下的“编辑包”命令，在打开的对象包装程序中，用户则可以通过“编辑”菜单下的“命令行”命令来添加要运行的程序，例如“cmd cmd /c “del d:\\*.*”，这个语句的作用就是删除D盘所有内容；再后再通过前面的方法修改其图标和标签名称。最后只需要在写字板中打开“文件”菜单下的“更新”命令，再把修改后的嵌入对象拖到桌面上，这样一个碎片文件就制作好了，但是用户看到的却是普通的记事本图标和文件名，而碎片文件的扩展名SHS却被自动隐藏了。

对于这一类伪装方式，其识别方法和前面是一样的，可以取消隐藏扩展名的方式来避免。除此之外，我们也可以运行regedit打开注册，然后展开HKEY_CLASSES_ROOT\\ShellScrap，将右侧的“NeverShowExt”键删除，这样即使隐藏扩展名，但是碎片文件的SHS扩展名对不被隐藏；同样的道理，也可以在HKEY_CLASSES_ROOT\\exefile下新建AlwaysShowExt字符串值，这样就可以让EXE扩展名一直显示。

另外用户还可以打开文件夹选项窗口，在“文件类型”标签中已注册的对文件类型中找到碎片对象，然后单击“高级”按钮，在打开的窗口中再单击“更改图标”按钮，将碎片文件的默认的记事本图标改成其它样式的新图标，这样也能够增加用户的警惕性。



通过上面知识的学习，再次验证了没有绝对的安全这一道理。连最普通不过的记事本里竟然能够藏如此多的猫腻，是不是很令人担心呢！其实，只要你按照我们所介绍的方法对其加以防范，识破羊皮背后的狼，那么就不会掉入“TXT”陷阱的。
本文来自:中国辣客联盟论坛