url文件详解、恶意利用及其防范

url文件详解、恶意利用及其防范

详解, url, 文件, 原创

作者：o0白月娜0o 来自：习科（Silic）信息技术 地址：http://www.blackbap.com/bbs 记得以前某牛——我记得是“网络凡人”（据某人说是当年电脑报黑客营版块的高人之一）写的吧，reg文件的结构及其使用 PS：我可能记错了作者，原作者表骂我 本人不敢跟此网牛比，倒是也愿意跟大家分享下自己新学的 文章限于水平，写的深度不够，大家表骂我 好了，开始正文 首先，我们新建一个文本文档，“新建文本文档.txt“ 重命名为”XX.url”——看到了什么？？？对，扩展名没了！！只剩下一个IE的icon图标了。并且最重要的是，右键重命名无法修改扩展名 这样我们就可以利用url文件来制作简单的 其实url文件的结构非常简单 头部： [InternetShortcut] 正文： URL=http://www.blackbap.com/bbs/index.php Modified=F00F43B3A875C601D9 扩展： IconFile=C:/WINDOWS/system32/SHELL32.dll /*后面接图标文件路径及文件*/ IconIndex=123                                                           /*其中“iconindex=n”表示使用的图标是指定文件中的第几个图标*/ 注：shell.dll里面放置了Windows自带的所有图标，可以使用eXeScope打开查看“资源” 头部不变，url=这一项我就不解释了 至于Modified记录页面最后修改时间的HTTP头信息的，只要位数对了就好了，注意字母大写！ 作用跟我们个人没关系。多数用于搜索引擎的搜索。例如谷歌要看看以前抓去的页面是不是变化了，看看Modified值变了没有就好了 例如： [InternetShortcut] URL=http://www.blackbap.com/index.php Modified=F00F43B3A875C601D9 恶意操作： 举个例子吧 iconfile=C:/windows/regedit.exe iconindex=1 保存后刷新，看看，成了注册表了 如果我把它换成“我的电脑”图标，放到某机器上 跨刷流量啊 某番茄：奇怪，这是什么病毒，打开我的电脑就成了某网页，怎么搞得？？？ 当然，如果这个url挂马了，呵呵，这个url文件不会被杀的，这东西，虽然没有流氓好用，但是用起来比流氓还流氓 有点：伪装性 缺点：易处理 解决方法：这还用我教？？删掉呗！！ 我见过华夏某广告毒，将“我的电脑”隐藏，居然放上url 删一次出一次，这东西还没法抑制再生！！唉~处理病毒母本都费劲——木本杀软不报，因为恶意程度不够！！只能手动清除，一次一次的用运行打开文件夹——麻烦！ 因为“我的电脑”“我的文档”没有url，隐藏成他们再好不过了 url文件的扩展用法： 保存session 这个我就不详细讲了 例如百度wap贴吧wapp.baidu.com，手机登陆后有个"?sid=XXXXXXXXXXXXXXXXXXXXXXXXXXX" 这个东西以前存在漏洞，当然，发现者自然是我们习科信息技术的成员咯~~ 保存之后就相当于各手机登陆书签，存到手机后可用蓝牙互传——当然我说的这个用法是个例子，其实真正用起来不方便，再说现在百度已经修复了这个问题，用起来更麻烦 以上那一段当我没说好了！！ 很多网站验证使用伪session验证的，所以这个东西，手机入侵我觉得不错~~ 好了，就这么多，以后补充 PS：文中介绍方法不得用于违法行为！！