最近因为课程需要,需要研究一下中国菜刀。
找了个站,输入验证码,奈何一点下载就遇到chrome的好心提示。恶意文件已被chrome拦截。要求我放弃下载。
知道我的浏览器是一片好心,可是我就是为了这个毒物而来的,怎么会放弃呢以先不要点放弃。其实对于小文件Chrome一般都提前下好了才进行安全检查,所以我们有机会保住这个文件。
找到chrome的默认下载目的地——家目录的Downloads(windows的话一般是用户目录下的下载文件夹),看到这个可疑的、格式看上去像 Unconfirmed xxxxxx.crdownload 这样的新文件……
(顺便安利一个windows工具,叫everything,NTFS文件系统下文件搜索利器)
把这个文件复制,再原地粘贴,这样就多出来一份copy。
对复制出来的copy右键,菜单中选属性(或者选中文件按F2,直接重命名),把文件后缀改成zip(或者你下载的时候保存对话框里的格式,我的是zip)
(科普:其实linux大多程序不靠后缀判断文件类型,多是调用file工具判断)。
之后就可以打开辣!
(这个时候,如果你再回去点击放弃,原来你复制出来的那个copy还会继续存在,而那个原来的Unconfirmed xxxxxx.crdownload会被chrome删除,这样你就保住了文件……的副本。)
不过如果你不确切知道一个文件的底细以及来源的安全性,最好还是相信这类危险文件过滤功能。
不知道你体验这个过程的时候有没有感觉什么不对劲的地方像有一扇门在吹穿堂风(当然,可能因版本而异)已經有点想法了。这是chrome的一个下载机制,不是很大的文件可以在用户选定保存位置时就开始下载,以节约时间;而对于小的恶意文件,chrome也会下载下来检验核实,认定并拦截。
更新:网上查了一下,发现这个问题已经有人利用了,就是从三个月前开始流行,直到最近(我用的chrome68.0还没有人公开测过,我比较懒,改天再测)还在影响chrome等浏览器的下载炸弹(Download Bomb),它可以通过发起大量下载请求耗尽CPU资源,使chrome在一段时间内失去响应。尽管是上个月开始流行,但关于该漏洞的新闻看上去相当少,可能因为其目前的利用方式需要配合社会工程学攻击才有可能奏效,获利相对困难,因此并不流行。应对方法:任务管理器或者电源键。
不过,我隐约感觉这过程中还有什么问题。只是暂时没想出这个问题怎么利用。
2019/10/10 更新
目前看上去Chrome已经在后续版本中修复了此问题,即如果该网站试图连续发起多个下载请求,Chrome会先请求用户许可,得到用户允许后再下载(在移动版上已修复,尽管还没有在PC端上进行验证,但应当也得到修复了)。
来源:a054545641
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!