当你拿到一个rar文件,打开后里面显示的内容是XXrcs.jpg或者XXrcs.png的时候,千万不要双击运行或者解压后运行,否则你将很可能着了某些人的道。。。

下面我将提供一个非病毒的样本,里面内容就只有一句MessageBox。该样本是一个rar文件,打开rar后,你可以看到一个JokeSrcs.png。将它解压出来,资源管理器里面也是JokeSrcs.png,这时候你可不能大意,不要以为看见扩展名是png,就是安全的。实际上这个文件的真实文件名是“Joke?gnp.scr”,你没有看错,文件名里面有一个问号,ascii码是3F的问号,但是由于系统的漏洞或者其他什么原因问号后面的部分将被反向显示,gnp.scr反向那就是rcs.png。scr是屏幕保护程序,它拥有和exe相同的执行权限,如果你不小心双击,那么你就中招了。

要制作这样的病毒文件,其实只要有一个样本那就简单了。文件的真实名称可以在cmd控制台里面看到,并且可以在控制台里面用copy命令进行替换,也就是说你的任何一个exe文件都可以用copy命令覆盖这个样本。

现在奇怪的是为什么问号后面的部分会被反向显示呢?不知道除了微软,是否还能有人可以给出一个答案呢?

上传的附件 JokeSrcs.rar

  • 标 题:额 这个真是个问题
  • 作 者:LuckyG
  • 时 间:2010-10-22 13:08:19

虚拟机使用win rar 打开效果 可以识别时 src文件

上传的附件 测试.jpg
{BK]HOURJ]218Z%$@S}ZL8R.jpg

  • 标 题:再放一张神奇的
  • 作 者:LuckyG
  • 时 间:2010-10-22 13:26:16

再放一张神奇的
JokeS*gnp.scr

这几个字符的顺序确实有问题
不管在哪你打出来都是存在这个问题 而不仅仅是文件名
qq空间说说

上传的附件 ZF_K]AW(@XA3VMN~UIPIBSX.jpg

  • 标 题:答复
  • 作 者:deryope
  • 时 间:2010-10-22 14:12:10

引用:
Offset       0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
0C00D2560                                  4A 00 6F 00 6B 00             J.o.k.
0C00D2570   65 00 53 00 2E 20 67 00  6E 00 70 00 2E 00 73 00   e.S.. g.n.p...s.
0C00D2580   63 00 72 00 00 00 00 00                            c.r.....
用WinHex看文件的名字发现,文件名中隐藏了一个 2E(.) 字符,看红色部分
应该就是这个插入的 2E 20 导致的,使得系统无法正确识别到后面的真实后缀.scr。具体为什么会反过来显示并且这个2E 20中的20是什么,目前还不知道


这个应该是属于利用Unicode控制符反转伪装后缀名的漏洞。0x202E是RLO

具体找到个资料:巧用Unicode控制字符破解Dz!论坛20字限制

  • 标 题:答复
  • 作 者:wzanthony
  • 时 间:2010-10-22 14:29:22

引用:
最初由 deryope发布 查看帖子
用WinHex看文件的名字发现,文件名中隐藏了一个 2E(.) 字符,看红色部分
应该就是这个插入的 2E 20 导致的,使得系统无法正确识别到后面的真实后缀.scr。具体为什么会反过来显示并且这个2E 20中的20是什么,目前还不知道


这个应该是属于利用Unicode控制符反转伪装后缀...
我刚刚想了下,rar可以在ring3生成这个文件,那应该不是驱动搞出来的。跟踪了一下发现结果确实如LS所说,这个问号实际上2E 20两个字符。
代码:
  HANDLE hl = CreateFileW(L"JokeS\x202Egnp.scr", GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, 0, NULL);
  if (hl != INVALID_HANDLE_VALUE)
    CloseHandle(hl);
这种写法就可以任意生成这样的文件了,以后别说是图片,什么格式都有可能被反转,什么格式都不安全。

  • 标 题:答复
  • 作 者:wzanthony
  • 时 间:2010-10-22 14:34:58

引用:
最初由 deryope发布 查看帖子
Unicode的*的16进制是0x202E,正好有个2E可以伪装.字符。而8238是从右向左覆盖,于是gnp三个字符会显示成png
这个2E 20是一个整体,后面的全部反向显示,并不是2E当作“.”来用,那个“.”就是后面的“.”。

  • 标 题:答复
  • 作 者:snowdbg
  • 时 间:2010-10-22 15:30:16

额。。。。我以为大家都知道这个了呢。。。。
这个是windows资源管理器的一个UNICODE倒叙显示问题,我第一次见这个都是一年多以前了 ,花样很多的

  • 标 题:答复
  • 作 者:snowdbg
  • 时 间:2010-10-22 15:36:09

网上传说中的TXT捆绑器之类的,也是应运这个漏洞的