Adında Sağdan Sola Geçersiz Kılma Unicode karakterine sahip dosyaların (kötü amaçlı yazılım sahtekarlığı yöntemi) yazılmasını veya okunmasını önlemenin yolları nelerdir?

RLO (Sağdan Sola Geçersiz Kılma) Unicode karakterli dosyaların adlarında (dosya adlarını taklit etmek için bir kötü amaçlı yazılım yöntemi) bir Windows PC'de yazılmasını veya okunmasını önlemenin yolları nelerdir?

RLO unicode karakteri hakkında daha fazla bilgi burada:

• Unicode Karakter 'DOĞRUDAN SOLA GENEL' (U + 202E)
• İki yönlü metin

RLO unicode karakteri hakkında bilgi, kötü amaçlı yazılımlar tarafından kullanıldığı gibi:

Bilgi Teknolojileri Tanıtım Ajansı, Japonya (IPA) tarafından derlenen, Ekim 2011'deki bilgisayar virüsü / yetkisiz bilgisayar erişimi olayı raporunun özeti [ Mirror (Google Cache) ]

RLO karakterinin nasıl çalıştığını görmek için bu RLO karakter testi web sayfasını deneyebilirsiniz .

RLO karakteri ayrıca o web sayfasındaki 'Giriş Testi' alanına zaten yapıştırılmıştır. Oraya yazmaya çalışın ve yazdığınız karakterlerin ters sıralarında (soldan sağa değil, sağdan sola) çıktığını fark edin.

Dosya adlarında, RLO karakteri özel olarak dosya adında, gerçekte sahip olduklarından farklı bir dosya adı veya dosya uzantısına sahip olmak üzere taklit etmek veya maskelenmek üzere konumlandırılabilir. (' Bilinen dosya türleri için uzantıları gizle ' işaretlenmemiş olsa bile) yine de gizlenecektir .)

RLO karakterli dosyaların çalıştırılmasını önleme hakkında bilgi sahibi olduğum tek bilgi Japonya Bilgi Teknolojileri Ajansı, Ajans web sitesinden .

Herhangi biri, adlarında RLO karakteri olan dosyaların yazılmasını veya bilgisayarda okunmasını ya da RLO karakterine sahip bir dosya algılandığında kullanıcıyı uyaran bir yolu önlemek için başka herhangi bir iyi çözüm önerebilir mi?

İşletim sistemim Windows 7'dir, ancak Windows XP, Vista ve 7 için çözümler veya bu işletim sistemlerini kullanan kişilere de yardımcı olacak tüm işletim sistemleri için çalışacak bir çözüm arayacağım.

İki yönlü bir metin kontrol karakteri bir dosya adının bir parçasını oluşturduğunda bir uyarı oluşturmak için Her Şeyi AutoHotkey ile birlikte kullanabilirsiniz .

Senaryo

AlertText = A bidirectional text control character was detected in a filename.
AlertText = %AlertText%`n`nClick OK to re-hide the window.

SetTitleMatchMode RegEx
DetectHiddenWindows, On
EnvGet, ProgramFiles32, ProgramFiles

Start:
Run, %ProgramFiles32%\Everything\Everything.exe
WinWaitActive, Everything, , 5
if Errorlevel
    Goto Start
WinGet, Id, ID, A
StatusBarWait, objects, , 1, ahk_id %Id%
StatusBarGetText, Status, 1, ahk_id %Id%
Backup := ClipboardAll
Transform, Clipboard, Unicode, ‎|â€|‪|‫|‬|‭|‮
Send, ^v
WinHide, ahk_id %Id%
Sleep, 100
Clipboard := Backup
Backup =
StatusBarWait, ^(?!^\Q%Status%\E$)
Loop
{
    StatusBarWait, [1-9], , 1, ahk_id %Id%
    IfWinNotExist, ahk_id %Id%
        Goto Start
    WinShow, ahk_id %Id%
    WinRestore, ahk_id %Id%
    MsgBox, %AlertText%
    WinHide, ahk_id %Id%
}

Bu ne yapar

Komut dosyası Her şeyi başlatır ve ‎|â€|‪|‫|‬|‭|‮(UTF8), yani yedi çift yönlü metin kontrol karakterinin ( kaynak ) tümü ile ayırarak arar |.

Ardından, komut dosyası Herşey penceresini gizler ve durum çubuğunu izler. Farklı bir rakam içerdiğinde 0, bir eşleşme bulundu, Her şey penceresi açılır ve aşağıdaki mesaj kutusu açılır:

Bir dosya adında iki yönlü bir metin kontrol karakteri algılandı.

Pencereyi tekrar gizlemek için Tamam'ı tıklayın.

Betik ayrıca kapanması durumunda Her Şeyi tekrar başlatır.

Nasıl kullanılır

1. Her şeyi indirin , kurun ve başlatın.

2. Ctrl+ ' Ya basın Pve Sesler sekmesine geçin .

   Kontrol edilmesi gereken tüm hacimler için, Monitör değişikliklerini etkinleştirin .

3. AutoHotkey'i indirin ve yükleyin.

4. Yukarıdaki betiğe olarak kaydedin find-bidirectional-text-control-characters.ahk.

5. Başlatmak için betiği çift tıklayın.

6. Başlangıç klasörünüzdeki komut dosyasına bir kısayol oluşturun .

Japonya web sitesi ( ayna bağlantısı ) olan Bilgi Teknolojileri Tanıtım Ajansı, adında RLO karakterli dosyaları çalıştırılmasını engellemek için Yerel Güvenlik Politikası ayarları yöneticisinin kullanılmasını tavsiye etti.

^{(Bu web sitesinin içerikleri üzerindeki telif hakkı lisansının ne olduğundan emin olmadığım için talimatların tamamını kopyalamıyorum.)}

Muhtemelen başka yollar da var, ama en kolay - ve henüz önemsiz değil - yolu, bu talepleri filtreleyen bir dosya sistemi filtresi (veya dosya sistemi mini filtresi) uygulamaktır. Böyle bir dosyadan okuma yapmanız durumunda, geri döndürebilirsiniz STATUS_ACCESS_DENIEDve yazarken hiçbir şey yapmamalısınız, bunun yerine bu tür dosyaların (muhtemelen yukarıdaki hata koduyla da) oluşturulmasını önleyiniz. Yaratma başka bir istek türüdür.

SSDT takma gibi benzer bir sonuca ulaşmanın başka yöntemleri de düşünülebilir. Ancak tek güvenilir yol yukarıdaki olurdu.

Bunu yapabilmek için birisinin sizin için bu tür bir filtre yazması gerekecek (çekirdek geliştiricisi için mini filtreler için nispeten önemsiz) ve daha sonra Vista'dan bu yana çekirdek modu imzalama ilkesini almak için imzalamanız gerekir. İkincisini yapmak istemiyorsanız, sürücü ikili dosyasını yine de test işareti yapabilir ve test imzalı içeriğe izin vermek için önyükleme seçeneklerinizi değiştirebilirsiniz - böylece ilgili sistemin güvenliğinden ödün verebilirsiniz.

Bu bilgiler ışığında, galacticninja ve Tom Wijsman’ın işaret ettiği çözümü kullanmanızı şiddetle tavsiye ediyorum.

Masaüstünde böyle bir şey olduğunu sanmıyorum, ancak böyle şeylerin dosya sunucularınıza yazılmasını engelleyebilmelisiniz:

Windows Server 2003 R2'de Dosya Tarama Uygulaması