3 Metode untuk Memalsukan Ekstensi File Palsu di Windows

2019-02-03 12:06:54
Utama·Saran Teknis·3 Metode untuk Memalsukan Ekstensi File Palsu di Windows

Ekstensi nama file sangat penting dalam sistem operasi Windows dan muncul di akhir nama file. Anda tidak hanya dapat langsung mengetahui jenis format file apa, apakah itu gambar atau aplikasi yang dapat dieksekusi, Windows juga dapat memutuskan program apa yang akan diluncurkan dengan berdasarkan pada apa yang terdaftar dalam daftar program default.

Secara umum Anda harus lebih memperhatikan format file yang dapat dieksekusi seperti .EXE .COM .SCR .BAT .VBS .PIF dan .CMD karena itu dapat berupa malware dan bukan program yang sah. Misalnya, sebuah ebook yang harus dalam ekstensi PDF atau EPUB tidak boleh .EXE walaupun masih mungkin jika dibungkus dengan kompiler ebook pihak ketiga untuk melindungi dari distribusi ilegal.

Karena pengguna Windows lebih berhati-hati dengan ekstensi yang dapat dieksekusi dan kurang memperhatikan ekstensi yang lebih aman seperti format gambar, ada beberapa cara untuk mengelabui pengguna yang ceroboh itu dengan berpikir bahwa file EXE adalah file gambar JPG. 1. Sembunyikan Ekstensi untuk Jenis File yang Dikenal

Ada pengaturan di Opsi Folder di mana Anda dapat menyembunyikan ekstensi file sehingga hanya nama file yang terlihat di Explorer saat ekstensi disembunyikan. Masalah dengan pengaturan ini adalah opsi default disetel untuk disembunyikan dan pengguna yang kurang berhati-hati dapat diakali ketika ada ekstensi ganda. Contoh ekstensi ganda adalah:

notes.txt.exe

File di atas sebenarnya adalah file yang dapat dieksekusi tetapi ditampilkan sebagai notes.txt dengan .exe disembunyikan karena pengaturan Opsi Folder. Langkah selanjutnya untuk membuat file terlihat lebih meyakinkan adalah mengubah ikon file menjadi ikon Notepad. Seperti yang Anda lihat dari contoh gambar di bawah, ini terlihat seperti file teks biasa.

Jika Anda mengubah jenis tampilan menjadi "Detail", ini menunjukkan dengan sangat jelas di Explorer bahwa file yang disebut notes.txt sebenarnya adalah sebuah aplikasi.

Anda dapat mengonfirmasi ini lebih lanjut dengan mengklik kanan file, memilih Properti dari menu konteks dan melihat "Jenis file" yang akan menampilkan Aplikasi (.exe) .

Ini adalah trik yang sangat lama dan beberapa aplikasi antivirus seperti COMODO akan memperingatkan Anda ketika mendeteksi ekstensi ganda dalam nama file.

Solusi mudah untuk mencegah Anda jatuh ke dalam trik ekstensi ganda adalah dengan menonaktifkan opsi " Sembunyikan ekstensi untuk jenis file yang diketahui " dari Control Panel> Folder Options> View tab.


2. Right to Left Override

Trik ini menggunakan unicode Kanan ke Kiri untuk membalikkan enam karakter terakhir sehingga ekstensi palsu. Misalnya, file notes.exe dapat diubah namanya menjadi notesexe.txt. Meskipun ekstensi file jelas menunjukkan sebagai .txt di Explorer, sistem operasi Windows masih mengenali file sebagai aplikasi.

Karena karakter override Right to Left tidak dapat diketik dari keyboard dan hanya ditampilkan dalam program Character Map yang ditemukan di Windows, seseorang dapat mengunduh program pihak ketiga gratis bernama BabelMap untuk menghasilkan karakter RTLO untuk disalin ke clipboard dan menempelkannya ketika mengganti nama file.

Untungnya sebagian besar peramban web besar telah melangkah ke daftar hitam karakter override kanan ke kiri sehingga ekstensi file yang benar ditampilkan dengan benar ketika pengguna mencoba untuk mengunduh file dengan ekstensi palsu menggunakan trik RTLO. Selain itu, menggunakan tampilan "Detail" di Explorer dapat sangat membantu Anda menentukan jenis file yang benar.


3. Eksploitasi Perangkat Lunak

Versi WinRAR 4.20 yang lebih lama rentan terhadap nama file dan ekstensi spoofing. Ini berarti Anda dapat memodifikasi file ZIP yang dibuat oleh WinRAR 4.20 menggunakan hex editor untuk menampilkan nama file dan ekstensi yang berbeda di GUI tetapi ekstensi lain yang berbeda ketika dijalankan langsung dari program. Contohnya adalah file notes.exe dikompresi menjadi notes.zip menggunakan WinRAR 4.20. Kemudian menggunakan hex editor, buka bagian akhir file dan modifikasi notes.exe menjadi notes.txt.

Membuka file notes.zip di WinRAR 4.20 sekarang akan menampilkan file yang diarsipkan sebagai spoofed notes.txt bukan notes.exe.

Mengklik dua kali pada file spoof dari WinRAR GUI akan menjalankan file sebagai aplikasi. Namun orang yang mengekstrak file akan aman dari eksploitasi spoofing ini karena mereka akan melihat bahwa itu adalah file executable (.exe) yang diekstraksi, bukan file teks (.txt).

WinRAR 5 dan di atas telah ditambal dari exploit ini. Oleh karena itu selalu disarankan untuk selalu memperbarui perangkat lunak Anda walaupun itu bukan aplikasi terkait internet.

Pilihan Editor