3 méthodes pour usurper de fausses extensions de fichiers dans Windows

2019-02-03 12:06:54
Principal·Conseils Techniques·3 méthodes pour usurper de fausses extensions de fichiers dans Windows

Une extension de nom de fichier est très importante dans le système d'exploitation Windows et elle apparaît à la fin du nom de fichier. Non seulement vous pouvez dire instantanément quel type de format de fichier, qu'il s'agisse d'une image ou d'une application exécutable, Windows peut également décider avec quel programme le lancer en fonction de ce qui est enregistré dans la liste des programmes par défaut.

En règle générale, vous devez accorder plus d'attention au format de fichier exécutable tel que .EXE .COM .SCR .BAT .VBS .PIF et .CMD car il peut s'agir d'un malware au lieu d'un programme légitime. Par exemple, un ebook qui devrait être dans une extension PDF ou EPUB ne devrait pas être .EXE bien qu'il soit toujours possible s'il est encapsulé avec un compilateur ebook tiers de se protéger contre la distribution illégale.

Étant donné que les utilisateurs de Windows sont plus prudents avec les extensions exécutables et accordent moins d'attention aux extensions plus sûres telles que les formats d'image, il existe plusieurs façons d'inciter l'utilisateur imprudent à penser qu'un fichier EXE est plutôt un fichier image JPG. 1. Masquer les extensions pour les types de fichiers connus

Il existe un paramètre dans les Options des dossiers dans lequel vous pouvez masquer l'extension de fichier afin que seul le nom de fichier soit visible dans l'Explorateur pendant que l'extension est masquée. Le problème avec ce paramètre est que l'option par défaut est masquée et qu'un utilisateur moins prudent peut être trompé lorsqu'il y a une double extension. Un exemple de double extension est:

notes.txt.exe

Le fichier ci-dessus est en fait un fichier exécutable mais est affiché sous la forme notes.txt avec le .exe masqué en raison du paramètre Option de dossier. La prochaine étape pour rendre le fichier plus convaincant est de changer l'icône du fichier en icône Bloc-notes. Comme vous pouvez le voir dans l'exemple d'image ci-dessous, il ressemble à un fichier texte normal.

Si vous changez le type de vue en «Détails», cela montre très clairement dans l'Explorateur que le soi-disant fichier notes.txt est en fait une application.

Vous pouvez le confirmer davantage en cliquant avec le bouton droit sur le fichier, en sélectionnant Propriétés dans le menu contextuel et en affichant le «Type de fichier» qui devrait afficher Application (.exe) .

C'est une très vieille astuce et quelques applications antivirus comme COMODO vous avertiront quand il détectera une double extension dans un nom de fichier.

Une solution simple pour vous empêcher de tomber dans la double extension consiste à désactiver l'option « Masquer les extensions pour les types de fichiers connus » dans le Panneau de configuration> Options des dossiers> onglet Affichage.


2. Remplacement de droite à gauche

Cette astuce utilise unicode de droite à gauche pour inverser les six derniers caractères afin que l'extension soit usurpée. Par exemple, un fichier notes.exe peut être renommé notesexe.txt. Bien que l'extension de fichier s'affiche clairement sous la forme .txt dans l'Explorateur, le système d'exploitation Windows reconnaît toujours le fichier comme une application.

Étant donné que le caractère de remplacement de droite à gauche ne peut pas être tapé à partir du clavier et est uniquement affiché dans le programme de carte de caractères trouvé dans Windows, on peut simplement télécharger un programme tiers gratuit appelé BabelMap pour générer le caractère RTLO à copier dans le presse-papiers et le coller lorsque renommer un fichier.

Heureusement, la plupart des principaux navigateurs Web sont passés à la liste noire du caractère de remplacement de droite à gauche afin que les extensions de fichier correctes s'affichent correctement lorsqu'un utilisateur tente de télécharger le fichier avec une extension usurpée à l'aide de l'astuce RTLO. En dehors de cela, l'utilisation de la vue «Détails» dans l'Explorateur peut grandement vous aider à déterminer le type de fichier correct.


3. Exploits logiciels

Une ancienne version de WinRAR 4.20 est vulnérable à l'usurpation du nom de fichier et de l'extension. Cela signifie que vous pouvez modifier le fichier ZIP créé par WinRAR 4.20 à l'aide d'un éditeur hexadécimal pour afficher un nom de fichier et une extension différents dans l'interface graphique, mais une autre extension différente lorsqu'il est exécuté directement à partir du programme. Un exemple est un fichier notes.exe compressé dans un fichier notes.zip à l'aide de WinRAR 4.20. Ensuite, à l'aide d'un éditeur hexadécimal, allez à la fin du fichier et modifiez notes.exe en notes.txt.

L'ouverture du fichier notes.zip dans WinRAR 4.20 affichera désormais le fichier archivé en tant que fichier falsifié notes.txt au lieu de notes.exe.

Double-cliquez sur le fichier usurpé à partir de l'interface graphique WinRAR pour exécuter le fichier en tant qu'application. Cependant, les personnes qui extraient le fichier seront à l'abri de cet exploit d'usurpation d'identité car elles verront qu'il s'agit d'un fichier exécutable (.exe) en cours d'extraction, et non d'un fichier texte (.txt).

WinRAR 5 et supérieur a été corrigé de cet exploit. Par conséquent, il est toujours conseillé de garder votre logiciel à jour même s'il ne s'agit pas d'une application liée à Internet.

Choix De L'Éditeur