※ [本文转录自 P2PSoftWare 看板] 作者: veloci85 (废龙) 站内: P2PSoftWare 标题: [转贴] 用FOXY抓档！？三思而後行！完全解析FOXY分享原理！ 时间: Sat Mar 3 21:10:33 2007 转自台湾论坛 — 病毒防骇 作者：莫斯科指挥官 相信有不少人曾经或正在使用FOXY，这篇文章就是要带你全盘了解FOXY的运作原理！ 希望你能耐着性子看完。这篇文看起来很长，但是内容相当容易懂。 如果你深深体悟到使用FOXY的疑虑，欢迎你把这篇文章转贴给你的好友看。 这篇文写出来用意就是要大家在使用软体时都能了解其相关的原理啦 如果你认为本文有转载价值的话，都欢迎你转载到其他地方。 当然也请尽到网路礼仪，附上转贴来源 一、为何它那麽热！？ 我曾经在即时通好友名单中随机挑选20人来询问有关FOXY的问题， 而其中15人曾经用过FOXY，可见它有多红。 为何它红？根据多半数的网友说法，皆集中於两个点：方便、快速。 方便这点我能深深体会。比起BT要去找资源档、eMule要找伺服器， FOXY单靠一条搜寻棒就能轻松找到自己要的东西， 对懒惰的免费主义者绝对是个再好不过的分享平台。 那快速呢？这点在我测试的期间，基本上没有太大的感觉； 加上系统传送封包数不断飙高，且在BT优化世界中 连对Tracker伺服器的连线次数都斤斤计较的状况下，我不得不对这点打上一个问号。 这点跟FOXY的分享原理有关，先保留，等一下就会提到。 二、是天使，还是恶魔？ 在网路社群中，对於FOXY的评价正反两极都有—— 为什麽有的人用FOXY老是中毒却浑然不知，有的人却怎麽抓都没事！？ A. 网路上好坏人都有 各位都知道FOXY是以一个资料夹为一个单位，随便档案丢进去就分享出去了； 再者，FOXY搜寻"完完全全"是靠关键字（档名）来搜寻， 不像BT有Torrent当媒介，也没有eMule的评分机制当後盾；有安全性可言吗？ B. 下载的档案性质不同 重点来了，有人说用FOXY下载MP3等性质单纯的档案就好了。 看起来很有道理，但前面已经提到过了：搜寻是以关键字（档名）来搜寻， 档案要怎样是随发布者高兴。 所以如果今天你拿某游戏当作关键字搜寻，那一定会搜寻到不少有关「帐号密码」 或是「密码搜寻器」等看起来很棒的程式或档案。如果你抓了，那你就上当了！ 为什麽？下面再解释。 C. 使用习惯 FOXY 预设是一开机就会启动，但多半数的使用者根本不知道该如何把它关闭。 这又跟他的分享机制有关系了。 前面已经提到，「分享是以一个资料夹为单位」。 理论上一个资料夹在网路上随意的分享出去是相当危险的一件事， 况且你还长时间挂在网路上 D. 不明白分享原理 如前面一直强调的，分享原理的确很重要。 有些小朋友根本不知道所谓的「分享资料夹」，看到设定项目就随便勾， 不小心就把C碟整个分享出去，带有密码资讯的cookies也连带分享出去了！ 三、分享原理解析 看以下破破的流程图，就可以大致了解： http://images.8-95.com/out.php/i1165_FOXY.jpg 这样几个疑问就能解释了—— A. 为何开FOXY就无时无刻的对外丢封包？ 因为你必须无时无刻与FOXY伺服器连线，并回应搜寻方的搜寻要求 B. 怎麽就算没分享任何资料夹或档案，还是有送大型封包出去？ 因为你用FOXY一定会下载档案，而这些档案会放到FOXY资料夹中的TEMP资料夹； 基於档案共享的原则，这个资料夹在FOXY是强制分享的。 至於先前有网友指出FOXY不会理会该设定项目，执意分享所有系统档案的问题， 在此稍作解释： 在下使用的是从官方抓下来的1.9版， 在测试期间（约10天）是没有出现「非分享资料夹因FOXY分享占用导致拒绝存取」的问题 所以在下推测这个问题的原因有几个可能： 1. 使用非官方版本的FOXY（网路上好像有流传加强版或是改造版的FOXY） 2. 於不明地点抓取旧版本软体（软体分享机制可能遭修改） 3. 在下测试时间不够长 但是根据我的试用心得，透过搜寻可以找到一些系统档案 以及桌面上的.lnk（捷径），而且数量还不少！ 各位明白了吧？谁会没事干在分享资料夹放系统档案以及桌面上的捷径？ 关於这点要拉长测试时间才能解释了。 C. 抓的档案明明就是MP3或是JPG甚至TXT，为何还是中标？ 这又跟FOXY的搜寻机制有关了。 FOXY的搜寻机制完完全全是单靠「档名」以及系统注册的「档案类型」 来比对关键字搜寻的资料。这样产生了几个问题: 1. 档案合并夹藏恶意程式 会使用命令字元的人都知道一个小技巧——档案合并。 用简单的语法就可以合并两个不相干的档案， 而只要开启的程式接受，这两个档案都可以正常使用。 这样一来JPG图档跟MP3这类看似单纯的档案也变的不单纯了。 参考文献：台湾微软Technet技术中心 — 关於合并档案的项目 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-cht/ library/ServerHelp/4b0b8777-8f1b-4f86-a8e9-4b38f1b00064.mspx 缩址：http://0rz.tw/7a2rq 2. RM/RMVB本身格式的漏洞 这应该不用多解释了。 有抓过此类影片的网友应该多多少少都有遇到过其中夹藏广告的影片， 如果今天夹藏的不是广告，而是一个0大小的恶意网页，那这样你又中标了。 参考文献：看RMVB影片也中招 教你查杀媒体文件病毒（台湾论坛文章） http://www.twbbs.net.tw/1362895.html 3. 功能强大却邪恶的自解档 有很多好用的程式都是这样重新封包变木马的： 先把木马跟程式绑在一起压缩，然後做成EXE的自解档。 有兴趣的话可以开WinRAR自己做看看。 设定木马的存放位置并自动执行正常的程式， 这样一来看似启动之後没有异状的程式也变成夹藏木马的「伪」程式了 4. 不良的解压缩方式 想必很多人看到需要解压缩的档案（尤其是需安装程式） 都是直接跳过解压缩的步骤，直接选择Setup来安装。 嘿嘿，问题就出在这里！ RAR 预设无论你执行其中的哪个档案，都会对压缩档中的所有档案做解压缩； 如果里面夹藏了像之前的熊猫病毒或是随身碟病毒， 档案放到了TEMP暂存资料夹，就能触发病毒执行了 想必各位看到上面的解析应该都……嗯，心里想就好。 四、那要怎麽抓的安心，用的放心？ A. 看起来很棒的程式或档案别抓 像是帐号密码、改IP、双视窗、外挂加速等都可能是只大木马！ B. 档案性质与档案大小相差太大的别抓 像是一个MP3如果只有几百K，你应该不相信吧？这就别抓！ C. 来源太少的别抓 这其实不是一个好的判断方式，但这也是最基本的方式。 当然刻意想要散布病毒得人还是可以开好几台电脑分享同一个档案。 D. 老生常谈——确实对档案做扫描 虽然不见得能百分之百靠防护软体确认档案安全性，但至少多分保障。 五、结论：还是少用为妙 FOXY是个很好且方便的分享平台，但是极度缺乏档案的验证机制或评分机制， 在网路上散布假档的环境下，使用者下载几乎可以说是毫无保障可言。 所以在分享机制尚未健全的情况下，还是少用为妙！ 最後补充：先前有网友指出FOXY在关闭之後还是会偷偷在背景启动的问题 在我测试中是没有遇到过，以後有时间再针对本文无法解释的两个疑虑作测试。 -- 中华民国网路安全自治学会论坛 http://nisaa.serveblog.net 网路安全推广‧欢迎参观指教 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.229.117.127 ※ pase139:转录至看板 share 03/04 02:28 ※ king3000:转录至看板 TFSHS66th318 03/04 14:19 ※ selient:转录至看板 KS95-319 03/04 15:40 ※ kaighyns:转录至看板 KS94-313 03/04 16:36 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.133.140.154