※ [本文轉錄自 P2PSoftWare 看板] 作者: veloci85 (廢龍) 站內: P2PSoftWare 標題: [轉貼] 用FOXY抓檔！？三思而後行！完全解析FOXY分享原理！ 時間: Sat Mar 3 21:10:33 2007 轉自台灣論壇 — 病毒防駭 作者：莫斯科指揮官 相信有不少人曾經或正在使用FOXY，這篇文章就是要帶你全盤了解FOXY的運作原理！ 希望你能耐著性子看完。這篇文看起來很長，但是內容相當容易懂。 如果你深深體悟到使用FOXY的疑慮，歡迎你把這篇文章轉貼給你的好友看。 這篇文寫出來用意就是要大家在使用軟體時都能了解其相關的原理啦 如果你認為本文有轉載價值的話，都歡迎你轉載到其他地方。 當然也請盡到網路禮儀，附上轉貼來源 一、為何它那麼熱！？ 我曾經在即時通好友名單中隨機挑選20人來詢問有關FOXY的問題， 而其中15人曾經用過FOXY，可見它有多紅。 為何它紅？根據多半數的網友說法，皆集中於兩個點：方便、快速。 方便這點我能深深體會。比起BT要去找資源檔、eMule要找伺服器， FOXY單靠一條搜尋棒就能輕鬆找到自己要的東西， 對懶惰的免費主義者絕對是個再好不過的分享平台。 那快速呢？這點在我測試的期間，基本上沒有太大的感覺； 加上系統傳送封包數不斷飆高，且在BT優化世界中 連對Tracker伺服器的連線次數都斤斤計較的狀況下，我不得不對這點打上一個問號。 這點跟FOXY的分享原理有關，先保留，等一下就會提到。 二、是天使，還是惡魔？ 在網路社群中，對於FOXY的評價正反兩極都有—— 為什麼有的人用FOXY老是中毒卻渾然不知，有的人卻怎麼抓都沒事！？ A. 網路上好壞人都有 各位都知道FOXY是以一個資料夾為一個單位，隨便檔案丟進去就分享出去了； 再者，FOXY搜尋"完完全全"是靠關鍵字（檔名）來搜尋， 不像BT有Torrent當媒介，也沒有eMule的評分機制當後盾；有安全性可言嗎？ B. 下載的檔案性質不同 重點來了，有人說用FOXY下載MP3等性質單純的檔案就好了。 看起來很有道理，但前面已經提到過了：搜尋是以關鍵字（檔名）來搜尋， 檔案要怎樣是隨發佈者高興。 所以如果今天你拿某遊戲當作關鍵字搜尋，那一定會搜尋到不少有關「帳號密碼」 或是「密碼搜尋器」等看起來很棒的程式或檔案。如果你抓了，那你就上當了！ 為什麼？下面再解釋。 C. 使用習慣 FOXY 預設是一開機就會啟動，但多半數的使用者根本不知道該如何把它關閉。 這又跟他的分享機制有關係了。 前面已經提到，「分享是以一個資料夾為單位」。 理論上一個資料夾在網路上隨意的分享出去是相當危險的一件事， 況且你還長時間掛在網路上 D. 不明白分享原理 如前面一直強調的，分享原理的確很重要。 有些小朋友根本不知道所謂的「分享資料夾」，看到設定項目就隨便勾， 不小心就把C碟整個分享出去，帶有密碼資訊的cookies也連帶分享出去了！ 三、分享原理解析 看以下破破的流程圖，就可以大致了解： http://images.8-95.com/out.php/i1165_FOXY.jpg 這樣幾個疑問就能解釋了—— A. 為何開FOXY就無時無刻的對外丟封包？ 因為你必須無時無刻與FOXY伺服器連線，並回應搜尋方的搜尋要求 B. 怎麼就算沒分享任何資料夾或檔案，還是有送大型封包出去？ 因為你用FOXY一定會下載檔案，而這些檔案會放到FOXY資料夾中的TEMP資料夾； 基於檔案共享的原則，這個資料夾在FOXY是強制分享的。 至於先前有網友指出FOXY不會理會該設定項目，執意分享所有系統檔案的問題， 在此稍作解釋： 在下使用的是從官方抓下來的1.9版， 在測試期間（約10天）是沒有出現「非分享資料夾因FOXY分享佔用導致拒絕存取」的問題 所以在下推測這個問題的原因有幾個可能： 1. 使用非官方版本的FOXY（網路上好像有流傳加強版或是改造版的FOXY） 2. 於不明地點抓取舊版本軟體（軟體分享機制可能遭修改） 3. 在下測試時間不夠長 但是根據我的試用心得，透過搜尋可以找到一些系統檔案 以及桌面上的.lnk（捷徑），而且數量還不少！ 各位明白了吧？誰會沒事幹在分享資料夾放系統檔案以及桌面上的捷徑？ 關於這點要拉長測試時間才能解釋了。 C. 抓的檔案明明就是MP3或是JPG甚至TXT，為何還是中標？ 這又跟FOXY的搜尋機制有關了。 FOXY的搜尋機制完完全全是單靠「檔名」以及系統註冊的「檔案類型」 來比對關鍵字搜尋的資料。這樣產生了幾個問題: 1. 檔案合併夾藏惡意程式 會使用命令字元的人都知道一個小技巧——檔案合併。 用簡單的語法就可以合併兩個不相干的檔案， 而只要開啟的程式接受，這兩個檔案都可以正常使用。 這樣一來JPG圖檔跟MP3這類看似單純的檔案也變的不單純了。 參考文獻：台灣微軟Technet技術中心 — 關於合併檔案的項目 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-cht/ library/ServerHelp/4b0b8777-8f1b-4f86-a8e9-4b38f1b00064.mspx 縮址：http://0rz.tw/7a2rq 2. RM/RMVB本身格式的漏洞 這應該不用多解釋了。 有抓過此類影片的網友應該多多少少都有遇到過其中夾藏廣告的影片， 如果今天夾藏的不是廣告，而是一個0大小的惡意網頁，那這樣你又中標了。 參考文獻：看RMVB影片也中招 教你查殺媒體文件病毒（台灣論壇文章） http://www.twbbs.net.tw/1362895.html 3. 功能強大卻邪惡的自解檔 有很多好用的程式都是這樣重新封包變木馬的： 先把木馬跟程式綁在一起壓縮，然後做成EXE的自解檔。 有興趣的話可以開WinRAR自己做看看。 設定木馬的存放位置並自動執行正常的程式， 這樣一來看似啟動之後沒有異狀的程式也變成夾藏木馬的「偽」程式了 4. 不良的解壓縮方式 想必很多人看到需要解壓縮的檔案（尤其是需安裝程式） 都是直接跳過解壓縮的步驟，直接選擇Setup來安裝。 嘿嘿，問題就出在這裡！ RAR 預設無論你執行其中的哪個檔案，都會對壓縮檔中的所有檔案做解壓縮； 如果裡面夾藏了像之前的熊貓病毒或是隨身碟病毒， 檔案放到了TEMP暫存資料夾，就能觸發病毒執行了 想必各位看到上面的解析應該都……嗯，心裡想就好。 四、那要怎麼抓的安心，用的放心？ A. 看起來很棒的程式或檔案別抓 像是帳號密碼、改IP、雙視窗、外掛加速等都可能是隻大木馬！ B. 檔案性質與檔案大小相差太大的別抓 像是一個MP3如果只有幾百K，你應該不相信吧？這就別抓！ C. 來源太少的別抓 這其實不是一個好的判斷方式，但這也是最基本的方式。 當然刻意想要散佈病毒得人還是可以開好幾台電腦分享同一個檔案。 D. 老生常談——確實對檔案做掃描 雖然不見得能百分之百靠防護軟體確認檔案安全性，但至少多分保障。 五、結論：還是少用為妙 FOXY是個很好且方便的分享平台，但是極度缺乏檔案的驗證機制或評分機制， 在網路上散佈假檔的環境下，使用者下載幾乎可以說是毫無保障可言。 所以在分享機制尚未健全的情況下，還是少用為妙！ 最後補充：先前有網友指出FOXY在關閉之後還是會偷偷在背景啟動的問題 在我測試中是沒有遇到過，以後有時間再針對本文無法解釋的兩個疑慮作測試。 -- 中華民國網路安全自治學會論壇 http://nisaa.serveblog.net 網路安全推廣‧歡迎參觀指教 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.229.117.127 ※ pase139:轉錄至看板 share 03/04 02:28 ※ king3000:轉錄至看板 TFSHS66th318 03/04 14:19 ※ selient:轉錄至看板 KS95-319 03/04 15:40 ※ kaighyns:轉錄至看板 KS94-313 03/04 16:36 ※ BULOVA:轉錄至看板 PSJH5-305 03/05 00:36 ※ curtis816:轉錄至某隱形看板 03/05 20:50 ※ shark0321:轉錄至看板 CSMU-Psy 03/08 20:50 ※ JFCC:轉錄至某隱形看板 04/15 19:39 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 221.169.166.238