Visualizzazione post con etichetta Estensione file. Mostra tutti i post
Visualizzazione post con etichetta Estensione file. Mostra tutti i post

mercoledì 20 gennaio 2016

Windows Quick Tip: Estensione file rovesciata

Un trucco utilizzato dai malintenzionati per diffondere virus/malware, sfrutta la capacità di Windows di visualizzare testi in lingue sinistrorse (scritte da destra verso sinistra). Per la gestione di tali lingue viene utilizzato un carattere speciale nel sistema Unicode: carattere con codice U+202E. Si tratta di un carattere speciale Unicode invisibile che forza la scrittura da destra verso sinistra. Tale carattere può essere utilizzato per ingannare la vittima sull'estensione del file e far passare un eseguibile per un comune e innocuo file di testo. 
Vediamo come:
  • Premere la combinazione di tasti WIN + R e digitare charmap seguito da invio;
    Mappa caratteri
    FIG 1 - Mappa caratteri
  • Individuare il carattere con codice U+202E;
  • Cliccato sul carattere procediamo a copiarlo negli appunti cliccando prima Seleziona e poi Copia
  • Incollare il carattere nel nome del file nella posizione in cui vogliamo invertire il testo

Ad es.
Supponiamo di aver creato un file eseguibile (.exe) e vogliamo che la vittima lo confonda con un documento PDF.
Rinominiamo il file in qualcosa di simile a "Documentofdp.exe" (come è possibile notare l'estensione PDF è stata scritta al contrario)
 Rinomina file eseguibile
FIG 2 - Rinomina file eseguibile

Incolliamo il carattere U+202E prima di fdp.exe ed ecco che il nostro file apparirà con il nome Documentoexe.pdf
Incollare il carattere UNICODE U+202E
FIG 3 - Incollare il carattere UNICODE U+202E

Tentando di rinominare un file che all'interno del nome contiene il carattere U+202E o tentando di visualizzarlo da una finestra del prompt dei comandi ci si rende conto subito che c'è qualcosa che non va e si scopre la reale estensione del file.


Rinominando il file contenente il carattere U+202E
FIG 4 - Rinominando il file contenente il carattere U+202E
Visualizzare l'estensione di un file contenente il carattere U+202E da prompt dei comandi
FIG 5 - Visualizzare l'estensione di un file contenente il carattere U+202E da prompt dei comandi



martedì 6 gennaio 2015

Windows Quick Tip: Modificare l'associazione dei file tramite registro

Windows stabilisce il tipo di contenuto del file e, di conseguenza, il programma con cui aprirlo basandosi sull'estensione dello stesso. L'estensione di un file non è altro che un set di caratteri preceduti dal "." che viene aggiunto alla fine del nome del file. Ad es. in NomeFile.txt i caratteri txt rappresentano l'estensione del file. I programmi installati in Windows possono aprire uno o più tipi di file, ognuno identificato da un'estensione. Nel caso in cui siano presenti più programmi in grado di aprire un tipo di file, solo uno verrà impostato come predefinito. Se si intende cambiare il programma predefinito è possibile procedere alla modifica dell'associazione dei file. L'operazione può essere effettuata in diversi modi. Un metodo semplice consiste nel cliccare con il tasto destro del mouse sul file che intendiamo aprire, quindi selezionare, dal menu contestuale, la voce Apri con e cliccare su Programma predefinito.

Apri con
FIG 1 - Apri con
A questo punto non ci resta che selezionare il programma predefinito con cui vogliamo aprire il tipo di file.


Programma predefinito
FIG 2 - Programma predefinito
Se vogliamo agire tramite registro di sistema basta procedere nel seguente modo:
  • Dal registro di windows posizionarsi su
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\
  • Selezionare la chiave relativa all'estensione che vogliamo verificare (ad es l'estensione .Tiff)
  • Dalla sottochiave OpenWithList eliminiamo dalla lista il programma indesiderato;
  • All'interno della sottochiave UserChoice, invece, troviamo il programma con cui il file viene aperto di default
Chiave OpenWithList
FIG 3 - Chiave OpenWithList

Chiave UserChoice
FIG 4 - Chiave UserChoice

Le operazioni sopra descritte agiscono all'interno del profilo utente. Se vogliamo effettuare la modifica a livello macchina è necessario agire all'interno della chiave HKEY_CLASSES_ROOT


FIG 5 - Chiave HKEY_CLASSES_ROOT