Как можно предотвратить или запретить запись или чтение файлов на ПК под управлением Windows с символом Unicode RLO (переопределение справа налево) в их имени (вредоносный метод подделки имен файлов)?
Больше информации о юникоде RLO здесь:
Информация о юникод-символе RLO, как он используется вредоносными программами:
Сводная информация об инциденте компьютерного вируса / несанкционированного доступа к компьютеру за октябрь 2011 года, составленная Агентством по продвижению информационных технологий, Япония (IPA) [ Mirror (Google Cache) ]
Вы можете попробовать эту тестовую веб-страницу RLO, чтобы увидеть, как работает символ RLO.
Символ RLO также уже вставлен в поле «Тест ввода» на этой веб-странице. Попробуйте набрать там и обратите внимание, что символы, которые вы печатаете, отображаются в обратном порядке (справа налево, а не слева направо).
В именах файлов символ RLO может быть специально размещен в имени файла, чтобы подделать или маскировать его как имеющий имя файла или расширение файла, которое отличается от того, что он фактически имеет. (Будет по-прежнему скрытым, даже если флажок « Скрыть расширения для известных типов файлов » не установлен.)
Единственная информация, которую я могу найти, которая содержит информацию о том, как предотвратить запуск файлов с символом RLO, находится на веб-сайте Японского агентства по продвижению информационных технологий .
Можно ли рекомендовать какие - либо другие хорошие решения для предотвращения файлов с характером RLO в их именах из того написано или считываться в компьютере, или способ предупреждения пользователя , если файл с характером RLO обнаруживаются?
Моя ОС - Windows 7, но я буду искать решения для Windows XP, Vista и 7 или решение, которое будет работать для всех этих ОС, чтобы помочь людям, использующим эти ОС тоже.
They adviced to use the Local Security Policy settings manager to block files with the RLO character in its name from being run.
Подскажите, пожалуйста, почему это не решение?Ответы:
Вы можете использовать Все в сочетании с AutoHotkey для создания оповещения, когда двунаправленный текстовый управляющий символ образует часть имени файла.
Сценарий
Что оно делает
Скрипт запускает все и ищет
‎|â€|‪|‫|‬|â€|‮
(UTF8), т. Е. Все семь двунаправленных символов управления текстом ( источник ), разделенных символом|
.Затем сценарий скрывает окно «Все» и отслеживает его строку состояния. Если в нем содержится какая-либо другая цифра
0
, совпадение найдено, открывается окно «Все» и появляется следующее сообщение:Скрипт также перезапускает все в случае, если он закрывается.
Как пользоваться
Скачать , установить и запустить все.
Нажмите Ctrl+ Pи переключитесь на вкладку Volume .
Для всех томов, которые необходимо проверить, включите Монитор изменений .
Скачайте и установите AutoHotkey.
Сохранить в приведенный выше скрипт как
find-bidirectional-text-control-characters.ahk
.Дважды щелкните скрипт, чтобы запустить его.
Создайте ярлык для скрипта в папке « Автозагрузка ».
источник
Агентство Информационных технологий Promotion, сайт Японии ( зеркало ссылка ), консультировало с помощью локальной политики безопасности диспетчера настроек для блокирования файлов с символом RLO в названии от бегутся.
(Я не копирую полные инструкции, так как не уверен в том, какова лицензия этого сайта на их содержание.)
источник
Возможно, есть и другие способы, но самый простой - и все же не тривиальный - способ заключается в реализации фильтра файловой системы (или мини-фильтра файловой системы), который фильтрует эти запросы. В случае чтения из такого файла вы можете вернуться,
STATUS_ACCESS_DENIED
и при записи вы не должны ничего делать, а вместо этого предотвращать создание таких файлов (вероятно, также с приведенным выше кодом ошибки). Создание - это другой тип запроса.Можно представить другие способы достижения аналогичного результата, такие как перехват SSDT. Но единственный надежный способ был бы выше.
Чтобы сделать это, вам нужно будет, чтобы кто-то написал для вас этот тип фильтра (относительно тривиально для мини-фильтров для разработчика ядра), а затем подписал его, чтобы получить его через политику подписывания режима ядра начиная с Vista. Если вы не хотите делать последнее, вы все равно можете проверить подпись двоичного файла драйвера и изменить параметры загрузки, чтобы разрешить содержимое с подписью теста, тем самым ставя под угрозу безопасность соответствующей системы.
В свете этой информации я бы настоятельно рекомендую вам использовать решение, на которое указал galacticninja и Tom Wijsman.
источник
Я не думаю, что такая вещь доступна на рабочем столе, но вы должны быть в состоянии предотвратить запись таких вещей на ваш файловый сервер (ы):
Реализация проверки файлов в Windows Server 2003 R2
источник