论文部分内容阅读
BT这两个字,这两年以来已经绝对不会陌生了。这种P2P的“草根”下载方式,一方面板大扩充了资源的数量和下载速度,另一方面也伴随着“不可靠”性:由于BT资源从种子制作和发布,到上传下载,几乎都是由个人完成的,自然不可避免有一些别具用心的人会将病毒和木马嵌在资源里,将BT下载作为一种散布病毒的途径。
这么可怕,那我就不用BT了?这种恐慌也未免有些“因噎废食”了,其实并不难,只需做好防毒预案,既可享受了BT下载的风驰电速,又可拒病毒于千里之外。
今天上网的时候发现老丁的QQ突然变成了“本号待售”,打了个电话过去才知道,原来昨天晚上他拖着BT下载了一本热门电影,不料被嵌了木马……“我已经很小心了,哪里知道还会中标。”老丁郁闷不已。
BT藏毒的办法可以有很多,但常见的不外乎两种:伪装法和嵌入法。所谓伪装法,就是将EXE可执行文件伪装成媒体文件,给“狼”披上羊皮,从而引诱点击运行,伺机发作。正所谓“知己知彼,百战不殆”,我们来看看几种不同的伪装手法。
1、图标伪装法
根据图标来判断文件类型,是大多数人的习惯思维,这种伪装恰恰利用了这一心理惯性,迷惑性很强。我们知道,系统会根据文件后缀名判断文件类型,并以特定的图标来显示。但是我们可能未必知道的,对于EXE可执行文件来说,却是可以定义自己的图标的。这本是为了个性所需,但是却恰恰成为了病毒伪装的羊皮。尤其在BT下载中,很多病毒文件将自己的ICO图标修改为媒体文件的样式。因为系统默认是“隐藏已知文件类型的后缀名”,所以这种“假媒体,真病毒”一眼看去,和真正的媒体文件几乎一模一样,具有很大的欺骗性。(图1)
应对绝招:
显示后缀,难以遁形。在“我的电脑”菜单栏上“工具”项中点击“文件夹选项”。在弹出的窗口中单击“查看”选项卡。在“显示”项中去掉“隐藏已知文件类型的后缀名”选项前的小勾,完成设置。
这个方法可以让很多“披着羊皮的狼”直接现形,而且方便而直观。缺点是看起来不够简洁,而且修改文件名的时候容易误改后缀名而造成一些不便,只适合“老鸟”采用。
2、后缀伪装法
前面我们提到了显示后缀法,事实上很多“老鸟”都会习惯将后缀显示打开,一则便于“后缀修改”之类的操作,二则可以躲过绝大多数伪装的病毒和木马。可是“道高一尺,魔高一丈”,有病毒将伪装进行到了后缀名上,使得很多“老鸟”也同样下马。
在Windows中,文件名不再拘泥于“8.3”格式,可以出现“AA.BB.CC”之类的格式,而只有最后一个“CC”才是真正的后缀名。我们来看看刚才的图一中那个病毒的真面目。(图2)
没错,它的全名是“一个馒头的血案.rmvb.sot”。SCR、COM与EXE同样是可直接执行的文件,考虑到EXE实在是太醒目了,所以有的病毒将后缀名进行了修改,以增加迷惑性。不过在这个病毒上,这个手法只是辅助,关键的伪装技术是双后缀和大量空格。在隐
隐藏的杀手——狙击弹出窗口
藏后缀名的机子上,文件自然只会显示为“一个馒头的血案.rmvb”;而即使打开了后缀名显示,由于Win-dows对文件名显示位数的限制,超过一定长度的文件名也只会显示前面部分,从而很好地掩盖了其真正的身份。这也是老丁自觉“已经很小心”却依然中招的原因。
应对绝招:
非左而右,验明真身。下载完成的电影文件,我们不是直接双击运行。而是采用右键点击。如果是可执行文件,默认的是“打开”,而媒体文件却默认为“播放”。很多病毒是采用WINRAR的自解压封装,甚至可以看到“用WINRAR解压到……”的菜单项。
这个办法比较彻底,一般病毒伪装都难以逃脱。如果对该文件有怀疑,索性点击“属性”,这样任它伪装,都会原形毕露。但是缺点也是很明显的,操作比较累赘。
它们是货真价实的媒体文件。你或许已经吁了一口气——安全了!且慢放松,媒体文件并不见得一定保险,或许,隐藏的杀手正埋伏在前面。
前面提到除了伪装法之外还有一种嵌入法。事实上,越来越多的病毒和木马已经采用了这种方法。媒体文件本身并没有病毒,但是它却在其中嵌入了一些“事件”,播放时会自动弹出窗口,连接到指定的网页。一些只是单纯的广告,为了博取点击率而已;但是也有一些人就将藏毒的目光聚焦在了这个上面。
这种情况很难提防,尤其是在影视节目网络下载过程中,REAL媒体由于其高压缩率和可以接受的画质,成为了主流。而REAL媒体的“事件”功能,理所当然成为了埋伏的最佳地点。因此,一播放电影,就窗口乱弹,或者只是看了一本电影,机子就种满了木马,这种情况已经不再鲜见。
应对绝招1:釜底抽薪
这个名字蛮神秘,操作起来却超级简单——断网呗。由于媒体文件本身无法夹带病毒和木马,只能挂在网上而通过“事件”控制网页弹出和下载,所以最简单的断网却成了最直接的解决方案。你可以直接拔网线,也可以使用防火墙阻断Re—alPlayer等播放器联网。
点评:这是个无奈之举。虽然断开网络之后,无法下载病毒,但是弹出的无效窗口依然烦人。另外,断开网络也不便于同时进行网页流量、QQ聊天等操作,阻断播放器联网则不便于在线播放。
应对绝招2:壮士断臂
在电影里经常可以见到这样的桥段:英雄中毒了,不管是被毒物咬伤还是被毒箭刺伤,恰恰没有解药,又恰恰是在非要害部位——比如手臂上,于是英雄一咬牙就将自己的手臂砍下,继续杀敌。
有点悲壮?不过在这里可没有那么血腥,壮士要断的不是手臂,而只是“鸡肋”,只是去掉一个不甚重要的功能,便可让弹出窗口失效。RealPlayer是播放REAL媒体的首选软件,但是我们发现,RealPlayer是调用安装目录中rpplugin文件夹下的rp-we3260.dll文件,来显示弹窗的,这个dll包含了Real内置的浏览器功能,只要将其删除或者改名,便可以使弹出广告失效。
点评:使用这个办法同时会去除RealPlayer捆绑的浏览器,以及查看剪辑信息、媒体库等功能。虽然自砍一刀后的RealPlayer看起来不是那么完整,但是细想,RealPlayer的浏览器和事件功能还真的没啥用,砍掉了,耳目一下子清净好多。
应对绝招3:换汤下药
药觉得难吃,那就换换汤水,可能口感就好了。REAL媒体嵌有广告,又不想去改造修改RealPlay-er,那么直接换个不支持RM事件的播放器,不就行了?常用的有MPLAYER、KMPLAYER、以及风行播放器等,很好地解决了这个问题。
点评:这个方法很不错,直接规避了弹窗危机,而且还带有 一些比较贴心的功能,更容易上手。风行播放器则直接与下载挂钩,无需另外调用即可直接支持播放,也非常方便。
但要注意的是,这个办法也有不通用的个例。由于REAL媒体格式是独有的专利格式,并不开放,因此第三方播放器支持RM和RMVB也是依赖于调用REAL的解码器。我们在实际应用中也发现个别RM和RMVB文件用第三方播放器播放时出现闪屏、彩屏(这可不是手机的功能哦)或者黑屏,但是用RealPlay-er却可以正常支持。
应对绝招4:弹出窗口免疫
自古有矛就有盾。既然病毒和木马可以设置埋伏,那么我们也可以请个狙击手,进行保驾。比如“RealPlayer广告拦截超级助手”“REAL广告屏蔽器”等等。在播放REAL影视之前运行这些软件,它们就会伺服在系统栏中,并且监视着REAL媒体中的“事件”,一旦有弹出窗口,便在第一时间将其秒杀。
点评:这是一种外挂的方式,就像使用珊瑚虫屏蔽QQ的广告一样,而且还往往附带了一些买用功能,比如连续播放等。使用这种方法,你无需关注使用的是什么播放嚣,无需关注是否进行了特别处理,也不用担心由于删除组件造成RealPlayer功能的受损,可谓一劳永选。但缺点也是明显的,首先每次都要事先运行,二则多少额外占用了系统资源。
应对绝招5:以彼之道,还施彼身
如果说上面的办法是以盾挡矛,那么这个办法就是反过来以矛制矛了。因为REAL弹出广告是依赖“事件”而发作的,而一个媒体只能包含一份“事件”,那么只需针对事件下手即可。我们的思路是用空白的“事件”来替换掉内嵌的“不轨”事件。使其失效即可。
最经典的办法是利用“RealMedia Editor”中的“rmevents”工具。事先新建一个空白的文本文件(如rmevents.txt),然后将rmevents.exe和下载来的电影文件(如ABC.rmvb)、rmevems.txt放置在同一目录下,并在命令行下运行“rmevents-i ABC.rmevents-e rmevents.txt-o NEWABC.rmvb”。这样就得到了一个新的干净的REAL媒体文件NEWABC.rmvb。
如果你觉得用命令行比较困难,那也不要紧,不妨直接使用RealMedia Editor,点击菜单“工具”里的“合并事件”命令,然后将空白的rmevents.txt合并导入即可。(图3)
此外,还有更多的“傻瓜”软件,可以帮助我们更轻松地清理REAL广告事件,比如“快乐影音RM广告清除器”、“Real文件广告清除工具”等等。
点评:这个办法比较彻底,优点是直接荡涤净化了媒体文件,尤其是便于收藏。缺点呢,则是需要花费一定的时间和占用一定的空间,来生成干净的文件。而RM、RMVB由于文件格式的特点,往往多用于下载观看而很少拿来收藏,因此略嫌麻烦。
事先体检,防患未然
在前面的方案里,我们都是需要下载完成后才能发现问题所在。面对着浩瀚的BT海洋,能否在下载伊始就了解资源的真实面目,从而防患于未然呢?
能。
第一步:打开种子先端详
用BT下载软件打开torrent种子文件,切不要直接确定,而是先切换到“选择文件”,看看我们到底下载的是啥东东。(图5)
在上面的例子中,我想结果已经很明了了:一个电影做成EXE可执行文件已经够奇怪了,还用上多级后缀名,更是将可疑系数增加到99.99%。
我们也经常遇到很多资源,本身的媒体文件没有问题,但是会同时夹带几个病毒文件。其实下载前多看一眼,就都会暴露出来,而我们只需要选择其中的媒体文件即可,而将病毒、木马以及流氓软件统统抛弃。
第二步:边下边看,事先预览
现在很多BT下载软件都支持“边下边看”功能,包括风行、脱兔、bitcomet等。它们改变了BT传统的乱序下载方式,而采用流式下载,只需经过短暂的几分钟缓冲,便可以开始一边下载一边播放影片内容。我们以风行为例说明。
用风行打开torrent种子文件,然后在任务管理的“正在下载”中找到该任务并用右键点击,选择“流式下载”。(图6)
此时,我们可以看到任务管理的“播放提示”项中会显示已经完成的缓冲比例。稍等片刻,等缓冲达到100%,按照提示双击播放,风行便会调用自带的播放器开始播放。
这一好处是明显的,首先我们可以判断影视资源是否是我们真正所需要的,以及清晰度情况,而不会千辛万苦下载完成后才发现是“李鬼”或者“张冠李戴”:二则规避了病毒和木马运行的机会;三则即使内嵌事件窗口,也无从得到弹出的机会,得到了最大的安全;四么,还节省了时间,无需漫长的等待即时就可以收看——当然这是意外收获。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文
这么可怕,那我就不用BT了?这种恐慌也未免有些“因噎废食”了,其实并不难,只需做好防毒预案,既可享受了BT下载的风驰电速,又可拒病毒于千里之外。
今天上网的时候发现老丁的QQ突然变成了“本号待售”,打了个电话过去才知道,原来昨天晚上他拖着BT下载了一本热门电影,不料被嵌了木马……“我已经很小心了,哪里知道还会中标。”老丁郁闷不已。
BT藏毒的办法可以有很多,但常见的不外乎两种:伪装法和嵌入法。所谓伪装法,就是将EXE可执行文件伪装成媒体文件,给“狼”披上羊皮,从而引诱点击运行,伺机发作。正所谓“知己知彼,百战不殆”,我们来看看几种不同的伪装手法。
1、图标伪装法
根据图标来判断文件类型,是大多数人的习惯思维,这种伪装恰恰利用了这一心理惯性,迷惑性很强。我们知道,系统会根据文件后缀名判断文件类型,并以特定的图标来显示。但是我们可能未必知道的,对于EXE可执行文件来说,却是可以定义自己的图标的。这本是为了个性所需,但是却恰恰成为了病毒伪装的羊皮。尤其在BT下载中,很多病毒文件将自己的ICO图标修改为媒体文件的样式。因为系统默认是“隐藏已知文件类型的后缀名”,所以这种“假媒体,真病毒”一眼看去,和真正的媒体文件几乎一模一样,具有很大的欺骗性。(图1)
应对绝招:
显示后缀,难以遁形。在“我的电脑”菜单栏上“工具”项中点击“文件夹选项”。在弹出的窗口中单击“查看”选项卡。在“显示”项中去掉“隐藏已知文件类型的后缀名”选项前的小勾,完成设置。
这个方法可以让很多“披着羊皮的狼”直接现形,而且方便而直观。缺点是看起来不够简洁,而且修改文件名的时候容易误改后缀名而造成一些不便,只适合“老鸟”采用。
2、后缀伪装法
前面我们提到了显示后缀法,事实上很多“老鸟”都会习惯将后缀显示打开,一则便于“后缀修改”之类的操作,二则可以躲过绝大多数伪装的病毒和木马。可是“道高一尺,魔高一丈”,有病毒将伪装进行到了后缀名上,使得很多“老鸟”也同样下马。
在Windows中,文件名不再拘泥于“8.3”格式,可以出现“AA.BB.CC”之类的格式,而只有最后一个“CC”才是真正的后缀名。我们来看看刚才的图一中那个病毒的真面目。(图2)
没错,它的全名是“一个馒头的血案.rmvb.sot”。SCR、COM与EXE同样是可直接执行的文件,考虑到EXE实在是太醒目了,所以有的病毒将后缀名进行了修改,以增加迷惑性。不过在这个病毒上,这个手法只是辅助,关键的伪装技术是双后缀和大量空格。在隐
隐藏的杀手——狙击弹出窗口
藏后缀名的机子上,文件自然只会显示为“一个馒头的血案.rmvb”;而即使打开了后缀名显示,由于Win-dows对文件名显示位数的限制,超过一定长度的文件名也只会显示前面部分,从而很好地掩盖了其真正的身份。这也是老丁自觉“已经很小心”却依然中招的原因。
应对绝招:
非左而右,验明真身。下载完成的电影文件,我们不是直接双击运行。而是采用右键点击。如果是可执行文件,默认的是“打开”,而媒体文件却默认为“播放”。很多病毒是采用WINRAR的自解压封装,甚至可以看到“用WINRAR解压到……”的菜单项。
这个办法比较彻底,一般病毒伪装都难以逃脱。如果对该文件有怀疑,索性点击“属性”,这样任它伪装,都会原形毕露。但是缺点也是很明显的,操作比较累赘。
它们是货真价实的媒体文件。你或许已经吁了一口气——安全了!且慢放松,媒体文件并不见得一定保险,或许,隐藏的杀手正埋伏在前面。
前面提到除了伪装法之外还有一种嵌入法。事实上,越来越多的病毒和木马已经采用了这种方法。媒体文件本身并没有病毒,但是它却在其中嵌入了一些“事件”,播放时会自动弹出窗口,连接到指定的网页。一些只是单纯的广告,为了博取点击率而已;但是也有一些人就将藏毒的目光聚焦在了这个上面。
这种情况很难提防,尤其是在影视节目网络下载过程中,REAL媒体由于其高压缩率和可以接受的画质,成为了主流。而REAL媒体的“事件”功能,理所当然成为了埋伏的最佳地点。因此,一播放电影,就窗口乱弹,或者只是看了一本电影,机子就种满了木马,这种情况已经不再鲜见。
应对绝招1:釜底抽薪
这个名字蛮神秘,操作起来却超级简单——断网呗。由于媒体文件本身无法夹带病毒和木马,只能挂在网上而通过“事件”控制网页弹出和下载,所以最简单的断网却成了最直接的解决方案。你可以直接拔网线,也可以使用防火墙阻断Re—alPlayer等播放器联网。
点评:这是个无奈之举。虽然断开网络之后,无法下载病毒,但是弹出的无效窗口依然烦人。另外,断开网络也不便于同时进行网页流量、QQ聊天等操作,阻断播放器联网则不便于在线播放。
应对绝招2:壮士断臂
在电影里经常可以见到这样的桥段:英雄中毒了,不管是被毒物咬伤还是被毒箭刺伤,恰恰没有解药,又恰恰是在非要害部位——比如手臂上,于是英雄一咬牙就将自己的手臂砍下,继续杀敌。
有点悲壮?不过在这里可没有那么血腥,壮士要断的不是手臂,而只是“鸡肋”,只是去掉一个不甚重要的功能,便可让弹出窗口失效。RealPlayer是播放REAL媒体的首选软件,但是我们发现,RealPlayer是调用安装目录中rpplugin文件夹下的rp-we3260.dll文件,来显示弹窗的,这个dll包含了Real内置的浏览器功能,只要将其删除或者改名,便可以使弹出广告失效。
点评:使用这个办法同时会去除RealPlayer捆绑的浏览器,以及查看剪辑信息、媒体库等功能。虽然自砍一刀后的RealPlayer看起来不是那么完整,但是细想,RealPlayer的浏览器和事件功能还真的没啥用,砍掉了,耳目一下子清净好多。
应对绝招3:换汤下药
药觉得难吃,那就换换汤水,可能口感就好了。REAL媒体嵌有广告,又不想去改造修改RealPlay-er,那么直接换个不支持RM事件的播放器,不就行了?常用的有MPLAYER、KMPLAYER、以及风行播放器等,很好地解决了这个问题。
点评:这个方法很不错,直接规避了弹窗危机,而且还带有 一些比较贴心的功能,更容易上手。风行播放器则直接与下载挂钩,无需另外调用即可直接支持播放,也非常方便。
但要注意的是,这个办法也有不通用的个例。由于REAL媒体格式是独有的专利格式,并不开放,因此第三方播放器支持RM和RMVB也是依赖于调用REAL的解码器。我们在实际应用中也发现个别RM和RMVB文件用第三方播放器播放时出现闪屏、彩屏(这可不是手机的功能哦)或者黑屏,但是用RealPlay-er却可以正常支持。
应对绝招4:弹出窗口免疫
自古有矛就有盾。既然病毒和木马可以设置埋伏,那么我们也可以请个狙击手,进行保驾。比如“RealPlayer广告拦截超级助手”“REAL广告屏蔽器”等等。在播放REAL影视之前运行这些软件,它们就会伺服在系统栏中,并且监视着REAL媒体中的“事件”,一旦有弹出窗口,便在第一时间将其秒杀。
点评:这是一种外挂的方式,就像使用珊瑚虫屏蔽QQ的广告一样,而且还往往附带了一些买用功能,比如连续播放等。使用这种方法,你无需关注使用的是什么播放嚣,无需关注是否进行了特别处理,也不用担心由于删除组件造成RealPlayer功能的受损,可谓一劳永选。但缺点也是明显的,首先每次都要事先运行,二则多少额外占用了系统资源。
应对绝招5:以彼之道,还施彼身
如果说上面的办法是以盾挡矛,那么这个办法就是反过来以矛制矛了。因为REAL弹出广告是依赖“事件”而发作的,而一个媒体只能包含一份“事件”,那么只需针对事件下手即可。我们的思路是用空白的“事件”来替换掉内嵌的“不轨”事件。使其失效即可。
最经典的办法是利用“RealMedia Editor”中的“rmevents”工具。事先新建一个空白的文本文件(如rmevents.txt),然后将rmevents.exe和下载来的电影文件(如ABC.rmvb)、rmevems.txt放置在同一目录下,并在命令行下运行“rmevents-i ABC.rmevents-e rmevents.txt-o NEWABC.rmvb”。这样就得到了一个新的干净的REAL媒体文件NEWABC.rmvb。
如果你觉得用命令行比较困难,那也不要紧,不妨直接使用RealMedia Editor,点击菜单“工具”里的“合并事件”命令,然后将空白的rmevents.txt合并导入即可。(图3)
此外,还有更多的“傻瓜”软件,可以帮助我们更轻松地清理REAL广告事件,比如“快乐影音RM广告清除器”、“Real文件广告清除工具”等等。
点评:这个办法比较彻底,优点是直接荡涤净化了媒体文件,尤其是便于收藏。缺点呢,则是需要花费一定的时间和占用一定的空间,来生成干净的文件。而RM、RMVB由于文件格式的特点,往往多用于下载观看而很少拿来收藏,因此略嫌麻烦。
事先体检,防患未然
在前面的方案里,我们都是需要下载完成后才能发现问题所在。面对着浩瀚的BT海洋,能否在下载伊始就了解资源的真实面目,从而防患于未然呢?
能。
第一步:打开种子先端详
用BT下载软件打开torrent种子文件,切不要直接确定,而是先切换到“选择文件”,看看我们到底下载的是啥东东。(图5)
在上面的例子中,我想结果已经很明了了:一个电影做成EXE可执行文件已经够奇怪了,还用上多级后缀名,更是将可疑系数增加到99.99%。
我们也经常遇到很多资源,本身的媒体文件没有问题,但是会同时夹带几个病毒文件。其实下载前多看一眼,就都会暴露出来,而我们只需要选择其中的媒体文件即可,而将病毒、木马以及流氓软件统统抛弃。
第二步:边下边看,事先预览
现在很多BT下载软件都支持“边下边看”功能,包括风行、脱兔、bitcomet等。它们改变了BT传统的乱序下载方式,而采用流式下载,只需经过短暂的几分钟缓冲,便可以开始一边下载一边播放影片内容。我们以风行为例说明。
用风行打开torrent种子文件,然后在任务管理的“正在下载”中找到该任务并用右键点击,选择“流式下载”。(图6)
此时,我们可以看到任务管理的“播放提示”项中会显示已经完成的缓冲比例。稍等片刻,等缓冲达到100%,按照提示双击播放,风行便会调用自带的播放器开始播放。
这一好处是明显的,首先我们可以判断影视资源是否是我们真正所需要的,以及清晰度情况,而不会千辛万苦下载完成后才发现是“李鬼”或者“张冠李戴”:二则规避了病毒和木马运行的机会;三则即使内嵌事件窗口,也无从得到弹出的机会,得到了最大的安全;四么,还节省了时间,无需漫长的等待即时就可以收看——当然这是意外收获。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文