这个文件有什么问题?
一个“PDF”文件是如何携带上病毒的?可能他就是一个exe。
然而,为什么这样的程序却能够顺利地被打开?答案就是对于文件扩展名的完全信任。
这个文件形如下面:
看上去像是一个PDF,看上去没什么危害,但当你打开后……
然而,“查看扩展名”却处于开启状态,那么,扩展名是如何被伪造的呢?
答案就是RLO字符
什么是RLO字符?
RLO字符是一个Unicode中定义的一个特殊字符,用于使语言文字从右向左书写(要知道,某些国家的文字是从右向左书写的),当出现一个RLO字符后,系统将会反转其后方的所有字符,直到遇到LRO字符(从左到右重写)。
这个字符原本是用于适应特殊的拼写方式,然而现在却被有心人利用了
RLO字符如何“改变”扩展名
明白了RLO字符是什么,一切也明白了。
只需要利用RLO字符来反转文件名,就可以将真实的后缀显示到其他位置,从而展示一个虚假的后缀。
比如刚刚的那个文件
文件名:
这不是pdf!这是fdp.exe
如果你尝试复制并解码,会发现其中有隐藏字符,而这个字符就是前文中提到的RLO。
所以这个文件的真实名称是“这不是pdf!这是(RLO)fdp.exe”
现在,可能您已经知道他的真实后缀了,那么……怎么辨别他们呢?
如何辨别这样的文件?
方式1:看属性
由于属性中的信息不变,因此可以看文件的属性,进而得知文件的真实类型
另外,你可能也注意到了标题栏中的“性属”,这也同样是由于RLO字符反转后造成的
方式2:使用“详细信息”视图
在详细信息视图中,会显示文件类型
方式3:使用杀软扫描
这种方式只改变了文件名,因此骗不了杀软。
(这个杀软还把RLO字符给忽略了,它原本看上去是“木马exe.示例.pdf)
草率的结尾
本来还想加点什么的,但是不想写了~