http://jackxiang.com/index.php zh-cn http://jackxiang.com/post// jack <xdy108@126.com> Wed, 16 Apr 2014 05:47:16 +0000 http://jackxiang.com/post//
url文件详解、恶意利用及其防范
首先，我们新建一个文本文档，“新建文本文档.txt“
重命名为”XX.url”——看到了什么？？？对，扩展名没了！！只剩下一个IE的icon图标了。并且最重要的是，右键重命名无法修改扩展名
这样我们就可以利用url文件来制作简单的
其实url文件的结构非常简单

头部：
[InternetShortcut]
正文：
URL=http://www.blackbap.com/bbs/index.php
Modified=F00F43B3A875C601D9
扩展：
IconFile=C:\WINDOWS\system32\SHELL32.dll /*后面接图标文件路径及文件*/
IconIndex=123       /*其中“iconindex=n”表示使用的图标是指定文件中的第几个图标*/
注：shell.dll里面放置了Windows自带的所有图标，可以使用eXeScope打开查看“资源”


头部不变，url=这一项我就不解释了
至于Modified记录页面最后修改时间的HTTP头信息的，只要位数对了就好了，注意字母大写！
作用跟我们个人没关系。多数用于搜索引擎的搜索。例如谷歌要看看以前抓去的页面是不是变化了，看看Modified值变了没有就好了

例如：

[InternetShortcut]
URL=http://www.blackbap.com/index.php
Modified=F00F43B3A875C601D9

恶意操作：
举个例子吧
iconfile=C:\windows\regedit.exe
iconindex=1
保存后刷新，看看，成了注册表了

如果我把它换成“我的电脑”图标，放到某机器上
跨刷流量啊
某番茄：奇怪，这是什么病毒，打开我的电脑就成了某网页，怎么搞得？？？

当然，如果这个url挂马了，呵呵，这个url文件不会被杀的，这东西，虽然没有流氓好用，但是用起来比流氓还流氓
有点：伪装性
缺点：易处理
解决方法：这还用我教？？删掉呗！！

我见过华夏某广告毒，将“我的电脑”隐藏，居然放上url
删一次出一次，这东西还没法抑制再生！！唉~处理病毒母本都费劲——木本杀软不报，因为恶意程度不够！！只能手动清除，一次一次的用运行打开文件夹——麻烦！
因为“我的电脑”“我的文档”没有url，隐藏成他们再好不过了

url文件的扩展用法：
保存session
这个我就不详细讲了
例如百度wap贴吧wapp.baidu.com，手机登陆后有个"?sid=XXXXXXXXXXXXXXXXXXXXXXXXXXX"
这个东西以前存在漏洞，保存之后就相当于各手机登陆书签，存到手机后可用蓝牙互传——当然我说的这个用法是个例子，其实真正用起来不方便，再说现在百度已经修复了这个问题，用起来更麻烦

以上那一段当我没说好了！！
很多网站验证使用伪session验证的，所以这个东西，手机入侵我觉得不错~~

好了，就这么多，以后补充
PS：文中介绍方法不得用于违法行为！！

来自：http://wenku.baidu.com/link?url=DTpyxMWfzmAXJKT41mVLFARnxH2LZEXRiR9M29SsPLQoHPNy7y5lTSTPK81Pk90REaDzn-hBY5CirFqbN6IFRzOYbe1jDp33ItIJcTTXPIy ]]> http://jackxiang.com/post//#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://jackxiang.com/post//#blogcomment