灵异现象 - 我改了档名它就换了一个档案格式耶

Credit: 乔瑟夫ChillSeph
灵感来源：UCCU Hacker

灵异现象

随着小弯慢慢熟悉工作，由於 IT 工作的关系也跟其他部门同事渐渐熟悉，
有一天同事跟他讲说：「小弯，我把 .png 改成 .exe 它居然开得起来耶！但它闪了一个黑窗後就开不起来了」

小弯当下的表情：

小弯：「当然开不起来罗，难不成我 .exe 改成 .txt 就能看到原始码?」
小弯接着说：「但你说画面有闪小黑窗? 听起来怪怪的」

真实情况

常见恶意程序有一招可以做 persistence 让受害者反覆触发，
而这种方式虽然现在很多防毒软件可以侦测，但是前提还是防毒软件要打开。
可以参考历史文献(西元 2000年的文章)：http://sysadm.ntpu.edu.tw/virusprogram.html

部分恶意程序会去修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的内容
注: exefile 也可能会是名称，重点是修改开始的应用程序顺序，而为了保证受害电脑持续执行病毒，修改 exe 最为方便。
原先正常内容是 "%1" %*，下面为大家解释一下内容

• %1 代表 exe 本身，所以你执行 exe 的时候不会透过其他应用程序帮你执行
• %* 代表参数，有些程序要执行必须带有参数，如果在这边做修改会导致执行时自动带入其他参数

那麽恶意程序怎麽做?

在 %1 前面带入恶意程序的路径，c:\windows\system32\redirect.exe
实际上会长这样："c:\winnt\system32\redirect.exe"%1" %*
如此一来就保证了 exe 每次执行都会先跑恶意程序，

那麽到底有没有可能相同档案打开来长不一样?
这就有关你打开一个档案，它的怎麽去解析了，以技术来说有可能
但绝对不会像是梗图一样改个档名就好

参考资料

• https://docs.microsoft.com/en-us/windows/win32/shell/fa-verbs
• http://sysadm.ntpu.edu.tw/virusprogram.html
• https://www.facebook.com/UCCU.Hacker/photos/a.746549245484834/2043662169106862/