假如您收到的郵件附件中有一個(gè)看起來是這樣的文件：QQ 放送.txt，您是不是認(rèn)為它肯定是純文本文件?我要告訴您，不一定!它的實(shí)際文件名可以是QQ 放送.txt{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}在注冊(cè)表里是HTML文件關(guān)聯(lián)的意思。但是存成文件名的時(shí)候它并不會(huì)顯現(xiàn)出來，您看到的就是個(gè).txt文件，這個(gè)文件實(shí)際上等同于QQ 放送.txt.html.那么直接打開這個(gè)文件為什么有危險(xiǎn)呢?請(qǐng)看如果這個(gè)文件的內(nèi)容如下：

您可能以為它會(huì)調(diào)用記事本來運(yùn)行，可是如果您雙擊它，結(jié)果它卻調(diào)用了HTML來運(yùn)行，并且自動(dòng)在后臺(tái)開始格式化D盤，同時(shí)顯示“Windows正在配置系統(tǒng)。Plase不打斷這個(gè)過程。”這樣一個(gè)對(duì)話框來欺騙您。您看隨意打開附件中的.txt的危險(xiǎn)夠大了吧?

欺騙實(shí)現(xiàn)原理：當(dāng)您雙擊這個(gè)偽裝起來的。txt時(shí)候，由于真正文件擴(kuò)展名是.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}，也就是.html文件，于是就會(huì)以html文件的形式運(yùn)行，這是它能運(yùn)行起來的先決條件。

文件內(nèi)容中的第2和第3行是它能夠產(chǎn)生破壞作用的關(guān)鍵所在。其中第3行是破壞行動(dòng)的執(zhí)行者，在其中可以加載帶有破壞性質(zhì)的命令。那么第 2行又是干什么的呢?您可能已經(jīng)注意到了第 2行里的“Ws cript”，對(duì)!就是它導(dǎo)演了全幕，它是幕后主謀!

Ws cript全稱Windows s cripting主人，它是Win98中新加進(jìn)的功能，是一種批次語言/自動(dòng)執(zhí)行工具——它所對(duì)應(yīng)的程序“Ws cript.exe”是一個(gè)腳本語言解釋器，位于c：\WINDOWS下，正是它使得腳本可以被執(zhí)行，就象執(zhí)行批處理一樣。在Windowss cripting主人腳本環(huán)境里，預(yù)定義了一些對(duì)象，通過它自帶的幾個(gè)內(nèi)置對(duì)象，可以實(shí)現(xiàn)獲取環(huán)境變量、創(chuàng)建快捷方式、加載程序、讀寫注冊(cè)表等功能。

一 識(shí)別及防范方法：

①這種帶有欺騙性質(zhì)的.txt文件顯示出來的并不是文本文件的圖標(biāo)，它顯示的是未定義文件類型的標(biāo)志，這是區(qū)分它與正常TXT文件的最好方法。

②識(shí)別的另一個(gè)辦法是在“按網(wǎng)頁方式”查看時(shí)在“我的電腦”左面會(huì)顯示出其文件名全稱，此時(shí)可以看到它不是真正的TXT文件。問題是很多初學(xué)者經(jīng)驗(yàn)不夠，老手也可能因?yàn)闆]留意而打開它，在這里再次提醒您，注意您收到的郵件中附件的文件名，不僅要看顯示出來的擴(kuò)展名，還要注意其實(shí)際顯示的圖標(biāo)是什么。

③對(duì)于附件中別人發(fā)來的看起來是TXT的文件，可以將它下載后用鼠標(biāo)右鍵選擇“用記事本打開”，這樣看會(huì)很安全。

二 惡意碎片文件

另一類可怕的TXT文件是一種在Windows中被稱作“碎片對(duì)象”(擴(kuò)展名為“噓”)的文件，它一般被偽裝成文本文件通過電子郵件附件來傳播，比方說，這個(gè)樣子：QQ號(hào)碼放送。txt.shs，由于真正地后綴名“噓”不會(huì)顯示出來，如果在該文件中含有諸如“形式”之類的命令將非常可怕!不僅如此，以下四點(diǎn)原因也是其有一定危害性的原因：

①碎片對(duì)象文件的缺省圖標(biāo)是一個(gè)和記事本文件圖標(biāo)相類似的圖標(biāo)，很容易會(huì)被誤認(rèn)為是一些文本的文檔，用戶對(duì)它的警惕心理準(zhǔn)備不足。

②在Windows的默認(rèn)狀態(tài)下，“碎片對(duì)象”文件的擴(kuò)展名(“.噓”)是隱藏的，即使你在“資源管理器”→“工具”→“文件夾選項(xiàng)”→“查看”中，把“隱藏已知文件類型的擴(kuò)展名”前面的“√”去掉，“.噓”也還是隱藏的，這是因?yàn)閃indows支持雙重?cái)U(kuò)展名，如“QQ號(hào)碼放送.txt.shs”顯示出來的名稱永遠(yuǎn)是“QQ號(hào)碼放送.txt”。

③即使有疑心，你用任何殺毒軟件都不會(huì)找到這個(gè)文件的一點(diǎn)問題，因?yàn)檫@個(gè)文件本身就沒有病毒，也不是可執(zhí)行的，而且還是系統(tǒng)文件。你會(huì)懷疑這樣的文件嗎?

④這種噓附件病毒制造起來非常容易，5分鐘就可以學(xué)會(huì)，也不需要編程知識(shí)(格式化C盤的命令：“形式c：”大家都知道吧。

1、 具體實(shí)例

那么，碎片對(duì)象到底對(duì)用戶的計(jì)算機(jī)會(huì)造成什么威脅呢?我們一起來作個(gè)測(cè)試就明白了。以下測(cè)試環(huán)境是在Windows 2000服務(wù)器中文版上進(jìn)行的。我們先在硬盤上創(chuàng)建一個(gè)測(cè)試用的文件test.txt(我創(chuàng)建的位置是D：\test.txt)，然后我們來制作一個(gè)能刪除這個(gè)測(cè)試文件的碎片對(duì)象文件。

①先運(yùn)行一個(gè)對(duì)象包裝程序(packager.exe)，我的Win2000服務(wù)者安裝在/winnt/system32下。

②新建一個(gè)文件后，打開菜單“文件”→“導(dǎo)入”，這時(shí)會(huì)彈出一個(gè)文件對(duì)話框，讓你選擇一個(gè)文件。不用考慮，隨便選擇一個(gè)文件就可以了。

③然后打開“編輯”→“命令行”，在彈出的命令行輸入對(duì)話框中輸入“cmd.exe /c del d：\test.txt”，點(diǎn)“確定”。

④然后，在菜單中選擇“編輯”→“復(fù)制數(shù)據(jù)包”。

⑤接著，隨便在硬盤上找個(gè)地方，我就直接在桌面上了。在桌面上點(diǎn)擊鼠標(biāo)右鍵，在彈出菜單中選擇“粘貼”，這時(shí)我們可以看到在桌面創(chuàng)建了一個(gè)碎片對(duì)象文件。

現(xiàn)在我們可以雙擊一下這個(gè)文件，CMD窗口一閃而過后，再到D盤看看，測(cè)試文件D：\test.txt已經(jīng)被刪除了!現(xiàn)在你該知道了，當(dāng)時(shí)在對(duì)象包裝中輸入地命令被執(zhí)行了。好危險(xiǎn)啊，如果這條命令是要?jiǎng)h除系統(tǒng)中的一個(gè)重要文件，或者是格式化命令形式之類的危險(xiǎn)命令，那該有多么的可怕!

下面讓我們一起來看看這個(gè)“隱身殺手”的真正面目吧!