你怎么会被 U+202E 的把戏所欺骗?
2022/6/26 23:20:30
本文主要是介绍你怎么会被 U+202E 的把戏所欺骗?,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
原文:https://galogetlatorre.blogspot.com/2013/07/how-can-you-be-fooled-by-u202e-trick.html
恶意攻击者用来愚弄他们的受害者的一个常见技术是使用 Unicode 特殊字符 U+202E,即强制从右向左覆盖控制,使恶意文件看起来像一个普通文档,而不是一个潜在的危险的可执行文件,执行后即使在命令行标题栏上也看不到原来的扩展名。
为了理解这个概念,想象一下,恶意文件是 document.exe。
按照下面的步骤来完成目标:
- 打开Windows字符表(charmap)
- 找到并复制Unicode字符 U+202E,在左下方显示了字符的ASCII值
- 粘贴扩展点之前的字符:document[[U+202E]] .exe
- 接着输入想要的扩展名,但要反向输入,例如,如果想要 pdf,那么需要写 fdp
最后,为了完善感染载体,一个好主意是改变恶意文件的图标,同时使用一个可以欺骗用户的名称,考虑到必须保留 exe 或原始扩展名,例如 annexe(附件)。
可能的对策:
- 如果尝试重命名文件(F2),会看到由特殊字符产生的奇怪效果
- 如果是在基于 GNU/Linux 的系统中,可以用一些命令检查文件的头文件
- 另一个可以用来验证任何文件的名称和扩展名的技巧是使用命令提示符
在可疑文件的位置上打开一个命令提示符,输入名字的前两个字符并按下 Tab,系统会自动完成真实的名字,文件名中有(一个或多个)不被识别的奇怪字符,显示为 2 个问号,揭示了 U+202E 字符的存在。
这篇关于你怎么会被 U+202E 的把戏所欺骗?的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-05-15鸿蒙生态设备数量超8亿台
- 2024-05-13TiDB + ES:转转业财系统亿级数据存储优化实践
- 2024-05-09“2024鸿蒙零基础快速实战-仿抖音App开发(ArkTS版)”实战课程已上线
- 2024-05-09聊聊如何通过arthas-tunnel-server来远程管理所有需要arthas监控的应用
- 2024-05-09log4j2这么配就对了
- 2024-05-09nginx修改Content-Type
- 2024-05-09Redis多数据源,看这篇就够了
- 2024-05-09Google Chrome驱动程序 124.0.6367.62(正式版本)去哪下载?
- 2024-05-09有没有大佬知道这种数据应该怎么抓取呀?
- 2024-05-09这种运行结果里的10.100000001,怎么能最快改成10.1?