郭建偉

對于不同的文件來說，都擁有對應(yīng)的擴展名。擴展名猶如文件的身份證，讓用戶可以輕松地識別文件的用途。在實際工作中，如何提高文件的安全性，防止其遭到別人窺視或者病毒侵?jǐn)_，對于提高系統(tǒng)運維效率，保護(hù)用戶數(shù)據(jù)安全具有不可忽視的意義，其實，通過對不同的擴展名進(jìn)行靈活配置，就可以從很大程度上提高文件的安全性。

一、“看穿”隱藏的擴展名

在默認(rèn)狀態(tài)下，系統(tǒng)只顯示文件名而隱藏擴展名，這就給病毒帶來了可乘之機，病毒會利用雙擴展名的方式欺騙和迷惑用戶。例如對于名為“xxx.exe”的病毒文件來說，如果將擴展名更改為別的類型（例如“xxx.exe.jpg”），就可以實現(xiàn)隱藏EXE擴展名的目的。用戶往往會以為這是圖片文件，一旦雙擊了該文件，病毒就會被激活。其實，通過對注冊表進(jìn)行簡單的修改操作，就可以讓比較危險的擴展名（例如EXE、BAT.CMD等）顯示出來，而不顯示其它不存在危險的擴展名。

例如運行“regedit.exe”程序在注冊表編輯器中選擇“HKEY CLASSES_ROOT＼exefile”分支，在右側(cè)新建一個類型為字符串，名稱為“AlwaysShowExt”的項目，將其值設(shè)置為“1”。之后退出注冊表編輯器，在任務(wù)管理器中結(jié)束“Explorer.exe”進(jìn)程，之后重啟該進(jìn)程，讓上述設(shè)置生效。之后可以看到，即使選用了隱藏擴展名功能，EXE文件依然可以顯示擴展名。按照同樣的方法，可以指定顯示任意類型的文件。此外，也可以直接打開文件夾選項窗口，在“文件類型”面板中選擇特定類型的文件（例如DOC等）。點擊高級按鈕，在彈出窗口中勾選“始終顯示擴展名”項。

這樣，指定類型的文件就可以始終顯示擴展名，該方法無需修改注冊表，操作起來比較簡單。但是，該方法對EXE、BAT等文件類型無效。注意，在文件夾選項窗口中取消“隱藏已知文件類型的擴展名”項的選擇狀態(tài)后，雖然可以讓大多數(shù)類型的文件顯示擴展名，不過一些特殊文件類型依然拒絕顯示擴展名，例如“.shs”“.url”“pif”類型等。一旦黑客使用這些特殊類型的文件來偽裝惡意程序的話，就會對系統(tǒng)造成危害。解決的方法是將這些文件類型的擴展名徹底顯示出來。

在注冊表編輯器中分別打開“HKEY_CLASSES_ROOT＼DocShortcut”“HKEY_CLASSES_ROOT＼piffile”“H KEY_CLASSES_ROOT＼SHCmdFile”“HKEY_CLASSES_ROOT＼ShellScrap”等分支，將窗口右側(cè)的“NeverShowExt”項刪除，就可以讓“.url”“.pif”“scf”“shs”等文件擴展名顯示出來。在Windows 7等系統(tǒng)中可以使用文件名助手這款小工具，來實現(xiàn)同樣的功能。雙擊下載的“iname.exe”文件，完成注冊操作，再次運行該文件，可以執(zhí)行反注冊操作。在Windows 7中選擇任意類型的文件，在其右鍵菜單中點擊“2.擴展名處理”項，就可以單獨顯示該類型的文件。再次點擊該項，會隱藏該類型文件的擴展名。

二、構(gòu)造擴展名，保護(hù)重要文件

對于某些文件（例如Docx等），我們不希望別人隨意打開。最簡單的保護(hù)方法是將其擴展名修改為別的名稱，例如將“.doc”擴展名修改為“.wdd”等，這樣當(dāng)雙擊“.wdd”文件時，就無法將其直接打開，讓別人誤以為這是個來歷不明的文件，而放棄對其的興趣。而我們運行時，只需調(diào)整關(guān)聯(lián)狀態(tài)，就可以順利將其打開了。例如，可以使用記事本編輯一個批處理文件：其中包括“assoc.docx=Word.Document.1”“ping127.0.1-n 10”“assoc.docx=zclx”等行內(nèi)容。將其保存為“wz.bat”文件。該批處理文件很簡單，第一行使用“assoc”命令為“.docx”文件設(shè)置正確的關(guān)聯(lián)關(guān)系，如果想查看指定類型文件的關(guān)聯(lián)關(guān)系，可以在CMD窗口中執(zhí)行“assoc.xxx”命令即可，其中的“xxx”表示具體的文件擴展名。第二行使用Ping命令對本機IP進(jìn)行探測，“-n”參數(shù)指定探測的次數(shù)，一般來說，探測一次大約1秒；這里探測10次花費10秒，當(dāng)然，您可以根據(jù)實際情況而定。注意這里的“127.0.1”同樣表示本機地址，這和“127.0.0.1”是等同的。第三行將“.docx”類型重新關(guān)聯(lián)到自定義的類型上。

在具體使用盹先修改需要保護(hù)的文件的擴展名，例如將“jimi.docx”更名為“yiban.zcxl”。這樣別人就無法將其直接打開了，當(dāng)我們需要使用盹運行“wz.bat”文件，在指定的時間間隔內(nèi)雙擊“yiban.zcxl”文件，就可以順利將其打開了。之后該批處理會自動修改文件關(guān)聯(lián)狀態(tài)，防止別人隨意操作該文件。為了安全起見，最好在系統(tǒng)中創(chuàng)建一個新賬戶（例如“tuser”等），為其設(shè)置復(fù)雜的密碼。將該批處理文件存放到NTFS分區(qū)中，在其屬性窗口中的“安全”面板中點擊“添加”按鈕，將“tuser”賬戶添加進(jìn)來，同時點擊“刪除”按鈕，刪除“組或用戶名稱”欄中的其它組和賬戶。

如果有些賬戶不能刪除，可以點擊“高級”按鈕，在彈出窗口中的“權(quán)限”面板中取消“從父項繼承那些可以應(yīng)用到自對象的權(quán)限”項目，在彈出對話框中點擊“刪除”按鈕，就可以清除所有的賬戶。選中“user”賬戶，在權(quán)限列表中只勾選“完全控制”項。這橇只有該“tser”賬戶才可以操作該批處理文件。而您可以在任意時候運行“runas/user：tuser：tuser d：＼wz.bat”命令輸入“tuser”賬戶密碼，就可以運行該批處理文件了。

當(dāng)然，也可以使用FolderDefence這款軟件，來實現(xiàn)更加安全的保護(hù)方法。當(dāng)初次運行時，在其主界面中點擊菜單“Services→Change Password”項，更改其主控密碼。如果不知道該密碼的話，就無法執(zhí)行文件的解密操作。點擊工具欄上的“Add”按鈕，在彈出窗口（如圖1）中的“Path”欄中點擊瀏覽按鈕，選擇需要保護(hù)的文件夾，您可以選擇看似普通的常用文件夾。勾選“Apply only for files of type”項，表示保護(hù)該文件夾中指定類型的文件。在其右側(cè)的列表中已經(jīng)預(yù)設(shè)了一些常用的文件類型，包括視頻、Office文檔、音樂、應(yīng)用程序。圖片、網(wǎng)頁等。這里為了便于說明，我們使用自定義文件類型。例如使用上述自定義的“.zcxl”擴展名，在該列表中選擇“Custom…”項，在自定義窗口中輸入“zcxl；doc；rar，txt”（注意不同的文件類型之間以分號相隔），點擊OK按鈕完成自定義文件類型添加操作。之后在上述保護(hù)設(shè)置窗口中勾選“Hidden&Locked”項，表示在選定的文件夾中隱藏并鎖定預(yù)設(shè)的文件類型。點擊OK按鈕完成該保護(hù)項目的添加操作。

按照同樣的方法，您可以對任意文件夾設(shè)置保護(hù)功能。在FolderDefence Pro設(shè)置窗口中顯示所有添加的保護(hù)項目。之后就可以關(guān)閉FolderDefence Pro，這對其保護(hù)功能沒有任何影響。您可以將需要保護(hù)的文件，例如ZCXL、DOC、RAR、TXT等類型文件直接復(fù)制到預(yù)設(shè)的路徑中，可以發(fā)現(xiàn)這些文件神奇地消失了，如同進(jìn)入了黑洞一樣失去了蹤影。其實，即使將任意文件的后綴修改為“.zcxl”等類型，將其存儲到目標(biāo)路徑中，其也會自動隱藏起來。因為選定的是常用的普通文件夾，別人可以自由進(jìn)入，但是其無論如何也不會想到看似普通常見的文件夾竟然會隱藏著機密文件，這就巧妙地保護(hù)了重要的文件安全性。當(dāng)您需要存取這些文件時，可以運行“FolderDefence.exe”程序，輸入預(yù)設(shè)的主控密碼，在其主窗口中雙擊目標(biāo)文件夾，在彈出窗口中的“Protection method”欄中選擇“No Protection”項，取消對于該文件夾的保護(hù)。之后再進(jìn)入該文件夾，就可以發(fā)現(xiàn)隱藏的文件全部出現(xiàn)了您可以正常對其進(jìn)行各種操作。

三、巧配擴展名，抵御病毒侵襲

當(dāng)病毒侵入系統(tǒng)后，往往會感染EXE等可執(zhí)行文件，或者修改EXE文件的關(guān)聯(lián)方式，讓其無法運行。為了防御此類病毒，可以通過自定義某個擴展名，使其擁有和EXE文件相同的功能，就可以避開病毒的襲擾，在關(guān)鍵時刻拯救系統(tǒng)。例如打開文件夾選項窗口，在“文件類型”面板中點擊“新建”按鈕，在彈出窗口中的“文件擴展名”欄中輸入自定義名稱，例如“vvv”。點擊“高級”按鈕，在“關(guān)聯(lián)的文件類型”列表中選擇“應(yīng)用程序”或者“屏幕保護(hù)程序”項，就可以將其變成可執(zhí)行程序。

例如將“notepad.exe”更名為“notepad.vvv”，同樣可以正常運行。這樣，我們可以事先將“cmd.exe”程序更名修改為“cmd.vvv”，將其存儲到指定的路徑中。當(dāng)病毒入侵后，導(dǎo)致EXE文件無法使用時，可以運行“cmd.vvv”，打開CMD窗口，之后執(zhí)行“assoc.exe=exefile”命令恢復(fù)EXE的關(guān)聯(lián)狀態(tài)，然后使用殺軟清理病毒即可。當(dāng)然，也可以使用記事本創(chuàng)建一個REG文件，其內(nèi)容包括“Windows RegistryEditor Version 5.00”“[HKEY_CLASSES_ROOT＼.vvv]”，“@=″exefile″”“″Content Type″=″appl ication/x-msdownload″”“[HKEY_CLASSES_ROOT＼.vvv＼PersistentHandler]”“@=″{098f2470-bae0-11cd-b579-08002b30feb}″”等內(nèi)容。將其保存為“new.reg”文件，雙擊該文件，將其內(nèi)容導(dǎo)入注冊表，就可以將“.vvv”類型的文件變成可執(zhí)行文件了。

但是，現(xiàn)在很多病毒都采取了將自身關(guān)聯(lián)到特定文件類型的方法，來達(dá)到激活的目的。雖然我們這里將“.vvv”關(guān)聯(lián)到可執(zhí)行文件類型上，但是如果病毒也將自身關(guān)聯(lián)到“vvv”類型上，那就無濟(jì)于事了。對于這種情況，可以采取替換“exefile”標(biāo)識的辦法加以解決。其實現(xiàn)方法很簡單，就是將注冊表編輯器中的“HKEY_CLASSES_ROOT＼exefile”路徑導(dǎo)出，并將其中的“exefile”全部更換為“vvvfile”，之后將其導(dǎo)入到注冊表中即可。之后需要對上述“new.reg”文件進(jìn)行相應(yīng)修改，將其中的“[HKEY_CLASSES_ROOT＼.vvv]”“@=″exefile″”更改為“[HKEY_CLASSES_ROOT＼.vvv]”“@=″vvvfi″”，之后將其導(dǎo)入注冊表中。這樣，就會在注冊表文件關(guān)聯(lián)中使用“vvvfile”替換“exefile”標(biāo)識。這樣在資源管理器中將選中的任意exe文件的后綴更改為“.vvv”，照樣可以正常執(zhí)行，而且也不怕病毒和exe文件建立關(guān)聯(lián)了，因為“exefile”標(biāo)識已經(jīng)不存在了。

實際上，當(dāng)病毒侵入系統(tǒng)后，必然會將相關(guān)病毒程序藏身到各類啟動項中，達(dá)到搶先運行控制系統(tǒng)的目的。根據(jù)以上分析，我們完全可以通過更改文件擴展名的方法，徒手清除各種頑固病毒。首先在注冊表編輯器中找到“HKEY_CLASSES_ROOT＼exefile”分支，將其導(dǎo)出為單獨的文件進(jìn)行備份。之后在注冊表中選中該分支，在右側(cè)窗口中雙擊“默認(rèn)”項，在彈出的編輯窗口中將“數(shù)值數(shù)據(jù)”更改為不存在的文件關(guān)聯(lián)（例如“Nonefile”等），之后重新啟動電腦，在Windows重新啟動后，在桌面上就會打開很多記事本窗口，這是因為exe文件的關(guān)聯(lián)變成了無效的項目，很多自動運行的程序都無法運行了（其中也包括病毒程序），于是Windows就使用記事本將上述程序逐一打開這樣就連病毒也無法啟動了。在打開的記事本中很容易找到可疑程序，將其內(nèi)容清空后保存，即可徹底清除可疑程序。當(dāng)然，之后還需要導(dǎo)入上述保存的注冊表文件，這樣就可以恢復(fù)正常程序的運行操作。