【外刊IT评论网】你能相信自己的眼睛吗?

标签: it 相信 眼睛 | 发表时间:2011-08-23 00:23 | 作者:(author unknown) Kai
出处:http://www.feedzshare.com

来自: 外刊IT评论 - FeedzShare  
发布时间:2011年08月21日,  已有 2 人推荐

本文是从 Can we believe our eyes? 这篇文章翻译而来。

几天前,一个客户向我们提交了一个病毒文件样品(SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, 检测认定为TrojanDropper:Win32/Vundo.L病毒)。这种特洛伊病毒在hosts文件里劫持“vk.com” 和 “vkontakte.ru”这两个域名(两个都是俄罗斯的社交网站),把它们重定向到92.38.209.252,但它们的实现方法却很独特。

要想劫持一个网站,把它重定向到自己指定的地址,黑客通常的做法是修改Windows系统里位于%SystemRoot%\system32\drivers\etc目录下的hosts文件。然而,当我们打开这个受感染的计算机上的hosts文件时,却没有发现任何的跟“vk.com” 和 “vkontakte.ru”相关的条目,就像你在下图中看到的一样。

但当我们显示出隐藏文件时,却看到了另外一个“hosts”文件。是个隐藏文件,你可以在下图中看见它们:

etc目录下有两个名称完全相同的文件,都是“hosts”!这怎么可能?

大家都知道,一个文件夹里不可能存在两个名称完全一样的文件。我们把这两个文件名拷贝到notepad里,存成Unicode文本文件,用十六进制文件编辑器打开,看到如下的结果(上面的是第一个“hosts”文件,下面的是第二个“host”文件):

在Unicode(UTF-16)中,0x006F 和 0x6F 表示的是相同的ASCII字符,都是字符“o”。但Unicode中的0x043E是个什么字符呢?从Unicode字符表中我们能找到了它(范围:0400-04FF)。下图就是部分的字符表。

我们可以看到,Unicode 0x043E 是一个西里尔字母(斯拉夫语言, 如俄语和保加利亚语所用的字母),它跟英语字符“o”非常的相似。

所以,这隐藏的“hosts”事实上才是我们真正的hosts文件。当我们打开这个文件,发现在文件的末尾多了两行内容:

谜团解开了!

这并不是我们第一次发现黑客用Unicode字符来迷惑人们。在2010年8月,一个中国黑客揭示了一个使用Unicode控制字符来误导人们点击可执行文件的骗术。黑客使用Unicode控制字符0x202E (RLO)来反转文件名中的特定部分,使你在Windows中看到的文件名变成了另外一个样子。

例如,建一个叫做“picgpj.exe”的文件,就像下面这样:

文件名中的“gpj.exe”部分是特意设计的。当你把一个RLO字符放到文件名中“gpj.exe”部分之前后,这个文件名变成了下面这个样子:

黑客通常会给这样的文件加上一个图片图标。粗心的人就会把这个文件当成一个图片,轻率的双击打开它,实际上是运行了一个可执行文件。很显然,这种骗术对于Unicode敏感的程序是无效的,但如果用人眼识别,你很难发现问题。

我们能相信自己的眼睛吗?答案是…不能。

Zhitao Zhou

本文来自外刊IT评论网(www.aqee.net),原始地址:你能相信自己的眼睛吗?

相关 [it 相信 眼睛] 推荐:

我们该相信自己的眼睛吗?

- 子非虫 - heikezhi.com
就在几天前,我们的一个客户提交了一个病毒样本(SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, 检测为TrojanDropper:Win32/Vundo.L),这个木马劫持了vk.com和vkontakte.ru域名(这两个都是俄罗斯的社交网站)并将他们重定向到了92.38.209.252这个ip,但是他们使用了一种不太寻常的方式.

【外刊IT评论网】你能相信自己的眼睛吗?

- Kai - FeedzShare
来自: 外刊IT评论 - FeedzShare  . 发布时间:2011年08月21日,  已有 2 人推荐. 本文是从 Can we believe our eyes. 几天前,一个客户向我们提交了一个病毒文件样品(SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, 检测认定为TrojanDropper:Win32/Vundo.L病毒).

我们能相信自己的眼睛吗?

- Sinan - cnBeta.COM
几天前,一个客户向我们提交了一个病毒文件样品(SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, 检测认定为TrojanDropper:Win32/Vundo.L病毒). 这种特洛伊病毒在hosts文件里劫持“vk.com” 和 “vkontakte.ru”这两个域名(两个都是俄罗斯的社交网站),把它们重定向到92.38.209.252,但它们的实现方法却很独特.

【外刊IT评论网】你能相信自己的眼睛吗?

- beralee - 外刊IT评论
本文是从 Can we believe our eyes. 几天前,一个客户向我们提交了一个病毒文件样品(SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, 检测认定为TrojanDropper:Win32/Vundo.L病毒). 这种特洛伊病毒在hosts文件里劫持“vk.com” 和 “vkontakte.ru”这两个域名(两个都是俄罗斯的社交网站),把它们重定向到92.38.209.252,但它们的实现方法却很独特.

别轻易相信你的眼睛——2010年最佳视觉错觉奖

- 肖 - 科学松鼠会
上个月在佛罗里达结束的视觉科学大会上,颁发了2010年度“最佳视觉错觉”大奖. 在这个一年一度的视觉盛会上,来自世界各地的视觉科学家贡献出自己这一年精心琢磨出的视觉Demo,争相吸引观众的眼球. 虽然满场都是整天研究视觉的心理学家和神经科学家,但大家仍然为参赛者敏锐的观察力和精巧的设计而拍案叫绝. 永远有出其不意的视觉错觉,让我们眼睁睁地看着双眼如何“欺骗”我们的大脑,也永远有解不尽的背后谜题等待被探索——也许这就是视觉科学让人深深着迷的一点吧.

眼睛护士

- 文曲星下凡 - CnGtdⅠ时间管理、个人提升、沟通
主页:http://EyeFoo.Com. 论坛:http://bbs.EyeFoo.com. 联系:[email protected]. 眼睛护士EyeFoo是一款具有健康理念的绿色软件,随着网络的普及,人们每天面对电脑屏幕的时间越来越久,长时间的电脑辐射与刺激难免会对眼睛产生不良后果,经常使用计算机的您是不是有眼睛干燥,疲劳不适的情况呢?眼睛护士是一个可以定时提醒你休息,保护眼睛和健康的软件.

3D内容伤害眼睛

- 瑾 - Solidot
淘宝:诚品数码 写道 "加州大学伯克利分校一研究小组,通过对24名志愿者的试验后得出结论,观看立体三维显示的内容会伤害你的眼睛和你的大脑. 这种现象称为 “vergence-accomodation,”3D技术内容可以引起视觉不适,疲劳,头痛等一系列反应;这意味着,眼睛必须不断地调整距离的物理屏幕和"3D内容.

3D 电影损伤大脑和眼睛

- Sam Shizun GE - 煎蛋
通过24个自愿者的亲身体验,美国加州大学柏克莱分校发现,3D 电影不仅对眼睛甚至对大脑也有损伤. 这种现象在专业术语叫做“vergence-accomodation”,这会让眼睛不断的调整屏幕与人体的距离,造成视觉疲劳、身体不适、和头疼. Banks 总结起来一句话:3D 电影造成了我们眼睛紊乱,分不清人体与电影荧幕的真实距离.

闭上眼睛看到的是什么?

- 风行水上 - 果壳网 guokr.com - 果壳网
闭上眼睛后“看”到的东西,可能属于以下几种情况的一种或几种:. 1,当我们处于明亮环境下的时候,即使闭上眼睛,也可能会有一些光线透过眼皮射入眼中. 这是因为人的皮肤具有一定的透光性. 一些同学小时候可能会有这样的经历:把手蒙在手电筒前面,电筒的光会透过手掌射出来,整只手掌被映成红色. 和厚厚的手掌相比,薄薄的眼皮更不可能阻挡全部的光线.