Adında Sağdan Sola Geçersiz Kılma Unicode karakterine sahip dosyaların (kötü amaçlı yazılım sahtekarlığı yöntemi) yazılmasını veya okunmasını önlemenin yolları nelerdir?


20

RLO (Sağdan Sola Geçersiz Kılma) Unicode karakterli dosyaların adlarında (dosya adlarını taklit etmek için bir kötü amaçlı yazılım yöntemi) bir Windows PC'de yazılmasını veya okunmasını önlemenin yolları nelerdir?

RLO unicode karakteri hakkında daha fazla bilgi burada:

RLO unicode karakteri hakkında bilgi, kötü amaçlı yazılımlar tarafından kullanıldığı gibi:

Bilgi Teknolojileri Tanıtım Ajansı, Japonya (IPA) tarafından derlenen, Ekim 2011'deki bilgisayar virüsü / yetkisiz bilgisayar erişimi olayı raporunun özeti [ Mirror (Google Cache) ]

RLO karakterinin nasıl çalıştığını görmek için bu RLO karakter testi web sayfasını deneyebilirsiniz .

RLO karakteri ayrıca o web sayfasındaki 'Giriş Testi' alanına zaten yapıştırılmıştır. Oraya yazmaya çalışın ve yazdığınız karakterlerin ters sıralarında (soldan sağa değil, sağdan sola) çıktığını fark edin.

Dosya adlarında, RLO karakteri özel olarak dosya adında, gerçekte sahip olduklarından farklı bir dosya adı veya dosya uzantısına sahip olmak üzere taklit etmek veya maskelenmek üzere konumlandırılabilir. (' Bilinen dosya türleri için uzantıları gizle ' işaretlenmemiş olsa bile) yine de gizlenecektir .)

RLO karakterli dosyaların çalıştırılmasını önleme hakkında bilgi sahibi olduğum tek bilgi Japonya Bilgi Teknolojileri Ajansı, Ajans web sitesinden .

Herhangi biri, adlarında RLO karakteri olan dosyaların yazılmasını veya bilgisayarda okunmasını ya da RLO karakterine sahip bir dosya algılandığında kullanıcıyı uyaran bir yolu önlemek için başka herhangi bir iyi çözüm önerebilir mi?

İşletim sistemim Windows 7'dir, ancak Windows XP, Vista ve 7 için çözümler veya bu işletim sistemlerini kullanan kişilere de yardımcı olacak tüm işletim sistemleri için çalışacak bir çözüm arayacağım.


1
Çok güzel bir soru! Bunu da bilmek istiyorum. Bağlantınız çalışmıyor gibi görünüyor.
Cerberus

@Cerberus Sadece bağlantının işe yaramadığını öğrendim. Umarım geçici olarak kapanmıştır. Bir ayna bulursam cevabı güncelleyeceğim.
galacticninja


@Cerberus Teşekkürler. Soruya ayna bağlantısını ekledim.
galacticninja

4
They adviced to use the Local Security Policy settings manager to block files with the RLO character in its name from being run.Bize bunun neden çözüm olmadığını söyleyebilir misiniz?
Tamara Wijsman

Yanıtlar:


3

İki yönlü bir metin kontrol karakteri bir dosya adının bir parçasını oluşturduğunda bir uyarı oluşturmak için Her Şeyi AutoHotkey ile birlikte kullanabilirsiniz .

Senaryo

AlertText = A bidirectional text control character was detected in a filename.
AlertText = %AlertText%`n`nClick OK to re-hide the window.

SetTitleMatchMode RegEx
DetectHiddenWindows, On
EnvGet, ProgramFiles32, ProgramFiles

Start:
Run, %ProgramFiles32%\Everything\Everything.exe
WinWaitActive, Everything, , 5
if Errorlevel
    Goto Start
WinGet, Id, ID, A
StatusBarWait, objects, , 1, ahk_id %Id%
StatusBarGetText, Status, 1, ahk_id %Id%
Backup := ClipboardAll
Transform, Clipboard, Unicode, ‎|â€|‪|‫|‬|‭|‮
Send, ^v
WinHide, ahk_id %Id%
Sleep, 100
Clipboard := Backup
Backup =
StatusBarWait, ^(?!^\Q%Status%\E$)
Loop
{
    StatusBarWait, [1-9], , 1, ahk_id %Id%
    IfWinNotExist, ahk_id %Id%
        Goto Start
    WinShow, ahk_id %Id%
    WinRestore, ahk_id %Id%
    MsgBox, %AlertText%
    WinHide, ahk_id %Id%
}

Bu ne yapar

Komut dosyası Her şeyi başlatır ve ‎|â€|‪|‫|‬|‭|‮(UTF8), yani yedi çift yönlü metin kontrol karakterinin ( kaynak ) tümü ile ayırarak arar |.

Ardından, komut dosyası Herşey penceresini gizler ve durum çubuğunu izler. Farklı bir rakam içerdiğinde 0, bir eşleşme bulundu, Her şey penceresi açılır ve aşağıdaki mesaj kutusu açılır:

Bir dosya adında iki yönlü bir metin kontrol karakteri algılandı.

Pencereyi tekrar gizlemek için Tamam'ı tıklayın.

Betik ayrıca kapanması durumunda Her Şeyi tekrar başlatır.

Nasıl kullanılır

  1. Her şeyi indirin , kurun ve başlatın.

  2. Ctrl+ ' Ya basın Pve Sesler sekmesine geçin .

    Kontrol edilmesi gereken tüm hacimler için, Monitör değişikliklerini etkinleştirin .

  3. AutoHotkey'i indirin ve yükleyin.

  4. Yukarıdaki betiğe olarak kaydedin find-bidirectional-text-control-characters.ahk.

  5. Başlatmak için betiği çift tıklayın.

  6. Başlangıç klasörünüzdeki komut dosyasına bir kısayol oluşturun .



0

Muhtemelen başka yollar da var, ama en kolay - ve henüz önemsiz değil - yolu, bu talepleri filtreleyen bir dosya sistemi filtresi (veya dosya sistemi mini filtresi) uygulamaktır. Böyle bir dosyadan okuma yapmanız durumunda, geri döndürebilirsiniz STATUS_ACCESS_DENIEDve yazarken hiçbir şey yapmamalısınız, bunun yerine bu tür dosyaların (muhtemelen yukarıdaki hata koduyla da) oluşturulmasını önleyiniz. Yaratma başka bir istek türüdür.

SSDT takma gibi benzer bir sonuca ulaşmanın başka yöntemleri de düşünülebilir. Ancak tek güvenilir yol yukarıdaki olurdu.

Bunu yapabilmek için birisinin sizin için bu tür bir filtre yazması gerekecek (çekirdek geliştiricisi için mini filtreler için nispeten önemsiz) ve daha sonra Vista'dan bu yana çekirdek modu imzalama ilkesini almak için imzalamanız gerekir. İkincisini yapmak istemiyorsanız, sürücü ikili dosyasını yine de test işareti yapabilir ve test imzalı içeriğe izin vermek için önyükleme seçeneklerinizi değiştirebilirsiniz - böylece ilgili sistemin güvenliğinden ödün verebilirsiniz.

Bu bilgiler ışığında, galacticninja ve Tom Wijsman’ın işaret ettiği çözümü kullanmanızı şiddetle tavsiye ediyorum.


2
Tom Wijsman’ın işaret ettiği çözümü kullanmanızı şiddetle tavsiye ediyorum. ” Aslında, bu benim belirttiğim bir çözümdü . Bunu zaten yapmak için Windows'u ayarladım. Tom Wijsman'a cevapladığım gibi , RLO karakterinin yazılmasını ve okunmasını engelleyecek başka çözümler ya da RLO karakteri tespit edildiğinde kullanıcıyı otomatik olarak bilgilendirecek veya uyaracak bir çözüm arıyorum . Korkarım tarif ettiğiniz filtreyi yazabilecek teknik bilgim yok.
galacticninja

@ galacticninja: Üzgünüm, cevabımda bunu düzelteceğim.
0xC0000022L

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.