APP下载

活用扩展名,提高文件安全性

2017-03-21郭建伟

电脑知识与技术·经验技巧 2017年1期
关键词:批处理编辑器注册表

郭建伟

对于不同的文件来说,都拥有对应的扩展名。扩展名犹如文件的身份证,让用户可以轻松地识别文件的用途。在实际工作中,如何提高文件的安全性,防止其遭到别人窥视或者病毒侵扰,对于提高系统运维效率,保护用户数据安全具有不可忽视的意义,其实,通过对不同的扩展名进行灵活配置,就可以从很大程度上提高文件的安全性。

一、“看穿”隐藏的扩展名

在默认状态下,系统只显示文件名而隐藏扩展名,这就给病毒带来了可乘之机,病毒会利用双扩展名的方式欺骗和迷惑用户。例如对于名为“xxx.exe”的病毒文件来说,如果将扩展名更改为别的类型(例如“xxx.exe.jpg”),就可以实现隐藏EXE扩展名的目的。用户往往会以为这是图片文件,一旦双击了该文件,病毒就会被激活。其实,通过对注册表进行简单的修改操作,就可以让比较危险的扩展名(例如EXE、BAT.CMD等)显示出来,而不显示其它不存在危险的扩展名。

例如运行“regedit.exe”程序在注册表编辑器中选择“HKEY CLASSES_ROOT\exefile”分支,在右侧新建一个类型为字符串,名称为“AlwaysShowExt”的项目,将其值设置为“1”。之后退出注册表编辑器,在任务管理器中结束“Explorer.exe”进程,之后重启该进程,让上述设置生效。之后可以看到,即使选用了隐藏扩展名功能,EXE文件依然可以显示扩展名。按照同样的方法,可以指定显示任意类型的文件。此外,也可以直接打开文件夹选项窗口,在“文件类型”面板中选择特定类型的文件(例如DOC等)。点击高级按钮,在弹出窗口中勾选“始终显示扩展名”项。

这样,指定类型的文件就可以始终显示扩展名,该方法无需修改注册表,操作起来比较简单。但是,该方法对EXE、BAT等文件类型无效。注意,在文件夹选项窗口中取消“隐藏已知文件类型的扩展名”项的选择状态后,虽然可以让大多数类型的文件显示扩展名,不过一些特殊文件类型依然拒绝显示扩展名,例如“.shs”“.url”“pif”类型等。一旦黑客使用这些特殊类型的文件來伪装恶意程序的话,就会对系统造成危害。解决的方法是将这些文件类型的扩展名彻底显示出来。

在注册表编辑器中分别打开“HKEY_CLASSES_ROOT\DocShortcut”“HKEY_CLASSES_ROOT\piffile”“H KEY_CLASSES_ROOT\SHCmdFile”“HKEY_CLASSES_ROOT\ShellScrap”等分支,将窗口右侧的“NeverShowExt”项删除,就可以让“.url”“.pif”“scf”“shs”等文件扩展名显示出来。在Windows 7等系统中可以使用文件名助手这款小工具,来实现同样的功能。双击下载的“iname.exe”文件,完成注册操作,再次运行该文件,可以执行反注册操作。在Windows 7中选择任意类型的文件,在其右键菜单中点击“2.扩展名处理”项,就可以单独显示该类型的文件。再次点击该项,会隐藏该类型文件的扩展名。

二、构造扩展名,保护重要文件

对于某些文件(例如Docx等),我们不希望别人随意打开。最简单的保护方法是将其扩展名修改为别的名称,例如将“.doc”扩展名修改为“.wdd”等,这样当双击“.wdd”文件时,就无法将其直接打开,让别人误以为这是个来历不明的文件,而放弃对其的兴趣。而我们运行时,只需调整关联状态,就可以顺利将其打开了。例如,可以使用记事本编辑一个批处理文件:其中包括“assoc.docx=Word.Document.1”“ping127.0.1-n 10”“assoc.docx=zclx”等行内容。将其保存为“wz.bat”文件。该批处理文件很简单,第一行使用“assoc”命令为“.docx”文件设置正确的关联关系,如果想查看指定类型文件的关联关系,可以在CMD窗口中执行“assoc.xxx”命令即可,其中的“xxx”表示具体的文件扩展名。第二行使用Ping命令对本机IP进行探测,“-n”参数指定探测的次数,一般来说,探测一次大约1秒;这里探测10次花费10秒,当然,您可以根据实际情况而定。注意这里的“127.0.1”同样表示本机地址,这和“127.0.0.1”是等同的。第三行将“.docx”类型重新关联到自定义的类型上。

在具体使用盹先修改需要保护的文件的扩展名,例如将“jimi.docx”更名为“yiban.zcxl”。这样别人就无法将其直接打开了,当我们需要使用盹运行“wz.bat”文件,在指定的时间间隔内双击“yiban.zcxl”文件,就可以顺利将其打开了。之后该批处理会自动修改文件关联状态,防止别人随意操作该文件。为了安全起见,最好在系统中创建一个新账户(例如“tuser”等),为其设置复杂的密码。将该批处理文件存放到NTFS分区中,在其属性窗口中的“安全”面板中点击“添加”按钮,将“tuser”账户添加进来,同时点击“删除”按钮,删除“组或用户名称”栏中的其它组和账户。

如果有些账户不能删除,可以点击“高级”按钮,在弹出窗口中的“权限”面板中取消“从父项继承那些可以应用到自对象的权限”项目,在弹出对话框中点击“删除”按钮,就可以清除所有的账户。选中“user”账户,在权限列表中只勾选“完全控制”项。这橇只有该“tser”账户才可以操作该批处理文件。而您可以在任意时候运行“runas/user:tuser:tuser d:\wz.bat”命令输入“tuser”账户密码,就可以运行该批处理文件了。

当然,也可以使用FolderDefence这款软件,来实现更加安全的保护方法。当初次运行时,在其主界面中点击菜单“Services→Change Password”项,更改其主控密码。如果不知道该密码的话,就无法执行文件的解密操作。点击工具栏上的“Add”按钮,在弹出窗口(如图1)中的“Path”栏中点击浏览按钮,选择需要保护的文件夹,您可以选择看似普通的常用文件夹。勾选“Apply only for files of type”项,表示保护该文件夹中指定类型的文件。在其右侧的列表中已经预设了一些常用的文件类型,包括视频、Office文档、音乐、应用程序。图片、网页等。这里为了便于说明,我们使用自定义文件类型。例如使用上述自定义的“.zcxl”扩展名,在该列表中选择“Custom…”项,在自定义窗口中输入“zcxl;doc;rar,txt”(注意不同的文件类型之间以分号相隔),点击OK按钮完成自定义文件类型添加操作。之后在上述保护设置窗口中勾选“Hidden&Locked”项,表示在选定的文件夹中隐藏并锁定预设的文件类型。点击OK按钮完成该保护项目的添加操作。

按照同样的方法,您可以对任意文件夹设置保护功能。在FolderDefence Pro设置窗口中显示所有添加的保护项目。之后就可以关闭FolderDefence Pro,这对其保护功能没有任何影响。您可以将需要保护的文件,例如ZCXL、DOC、RAR、TXT等类型文件直接复制到预设的路径中,可以发现这些文件神奇地消失了,如同进入了黑洞一样失去了踪影。其实,即使将任意文件的后缀修改为“.zcxl”等类型,将其存储到目标路径中,其也会自动隐藏起来。因为选定的是常用的普通文件夹,别人可以自由进入,但是其无论如何也不会想到看似普通常见的文件夹竟然会隐藏着机密文件,这就巧妙地保护了重要的文件安全性。当您需要存取这些文件时,可以运行“FolderDefence.exe”程序,输入预设的主控密码,在其主窗口中双击目标文件夹,在弹出窗口中的“Protection method”栏中选择“No Protection”项,取消对于该文件夹的保护。之后再进入该文件夹,就可以发现隐藏的文件全部出现了您可以正常对其进行各种操作。

三、巧配扩展名,抵御病毒侵袭

当病毒侵入系统后,往往会感染EXE等可执行文件,或者修改EXE文件的关联方式,让其无法运行。为了防御此类病毒,可以通过自定义某个扩展名,使其拥有和EXE文件相同的功能,就可以避开病毒的袭扰,在关键时刻拯救系统。例如打开文件夹选项窗口,在“文件类型”面板中点击“新建”按钮,在弹出窗口中的“文件扩展名”栏中输入自定义名称,例如“vvv”。点击“高级”按钮,在“关联的文件类型”列表中选择“应用程序”或者“屏幕保护程序”项,就可以将其变成可执行程序。

例如将“notepad.exe”更名为“notepad.vvv”,同样可以正常运行。这样,我们可以事先将“cmd.exe”程序更名修改为“cmd.vvv”,将其存储到指定的路径中。当病毒入侵后,导致EXE文件无法使用时,可以运行“cmd.vvv”,打开CMD窗口,之后执行“assoc.exe=exefile”命令恢复EXE的关联状态,然后使用杀软清理病毒即可。当然,也可以使用记事本创建一个REG文件,其内容包括“Windows RegistryEditor Version 5.00”“[HKEY_CLASSES_ROOT\.vvv]”,“@=″exefile″”“″Content Type″=″appl ication/x-msdownload″”“[HKEY_CLASSES_ROOT\.vvv\PersistentHandler]”“@=″{098f2470-bae0-11cd-b579-08002b30feb}″”等内容。将其保存为“new.reg”文件,双击该文件,将其内容导入注册表,就可以将“.vvv”类型的文件变成可执行文件了。

但是,现在很多病毒都采取了将自身关联到特定文件类型的方法,来达到激活的目的。虽然我们这里将“.vvv”关联到可执行文件类型上,但是如果病毒也将自身关联到“vvv”类型上,那就无济于事了。对于这种情况,可以采取替换“exefile”标识的办法加以解决。其实现方法很简单,就是将注册表编辑器中的“HKEY_CLASSES_ROOT\exefile”路径导出,并将其中的“exefile”全部更換为“vvvfile”,之后将其导入到注册表中即可。之后需要对上述“new.reg”文件进行相应修改,将其中的“[HKEY_CLASSES_ROOT\.vvv]”“@=″exefile″”更改为“[HKEY_CLASSES_ROOT\.vvv]”“@=″vvvfi″”,之后将其导入注册表中。这样,就会在注册表文件关联中使用“vvvfile”替换“exefile”标识。这样在资源管理器中将选中的任意exe文件的后缀更改为“.vvv”,照样可以正常执行,而且也不怕病毒和exe文件建立关联了,因为“exefile”标识已经不存在了。

实际上,当病毒侵入系统后,必然会将相关病毒程序藏身到各类启动项中,达到抢先运行控制系统的目的。根据以上分析,我们完全可以通过更改文件扩展名的方法,徒手清除各种顽固病毒。首先在注册表编辑器中找到“HKEY_CLASSES_ROOT\exefile”分支,将其导出为单独的文件进行备份。之后在注册表中选中该分支,在右侧窗口中双击“默认”项,在弹出的编辑窗口中将“数值数据”更改为不存在的文件关联(例如“Nonefile”等),之后重新启动电脑,在Windows重新启动后,在桌面上就会打开很多记事本窗口,这是因为exe文件的关联变成了无效的项目,很多自动运行的程序都无法运行了(其中也包括病毒程序),于是Windows就使用记事本将上述程序逐一打开这样就连病毒也无法启动了。在打开的记事本中很容易找到可疑程序,将其内容清空后保存,即可彻底清除可疑程序。当然,之后还需要导入上述保存的注册表文件,这样就可以恢复正常程序的运行操作。

猜你喜欢

批处理编辑器注册表
司空见惯感觉烦 锁屏画面快走开
恶意批处理文件导致电脑黑屏、反复重启、无响应的原因分析及应对思路
编辑精选APP
不装软件批处理为文件夹加锁
你距离微信创作达人还有多远?
更上一层楼 用好注册表编辑器
借助批处理 让Cortana变聪明
注册表的便捷用法
注册表编辑器也玩“失忆”
批处理天地.文件分类超轻松