你能相信自己的眼睛吗?
这篇文章讲的是一个特洛伊病毒如何用视觉诡计在电脑上“隐身”的故事。作者从一个客户提交的病毒样本说起,这个样本本该修改系统hosts文件以劫持两个社交网站,但打开文件一看,却干干净净,没有任何劫持条目。 谜底在于,黑客在同一个目录下创建了一个隐藏的、真正的hosts文件。这个文件利用了一个极其刁钻的技巧:它的文件名虽然看起来也是“hosts”,但其中的字母“o”被替换成了Unicode编码中一个西里尔字母“о”。在普通视图下两者几乎一模一样,但系统读取的是包含恶意重定向规则的那个隐藏文件。 文章由此延伸,指出这并非个例。黑客还会使用Unicode控制字符(如RLO)来反转文件名,将“picgpj.exe”伪装成一张图片文件,诱使用户双击。这些手法的共同点在于,它们都利用了Unicode字符的视觉相似性来欺骗人眼,而非对抗计算机本身。 作者最终提出的观点直指核心:在精心构造的字符诡计面前,我们肉眼的观察并不可靠。这篇文章生动地揭示了攻击者如何利用编码层面的特性来突破常规防御思维,提醒我们在排查问题或鉴别文件时,需要更深入底层原理的视角。