SHS就是“ShellScrap”的缩写,默认图标是文本文件的图标,由 system32 文件夹下的 shscrap.dll 打开。一般来说,在HKEY_LOCAL_MACHINE 下面搜索“NeverShowExt”可以找到。这个键值的意思是在资源管理器内永远不显示文件名,比如,文件名为 File.txt.shs 在资源管理器显示为“File.txt”,但是在 DOS 环境下不会有这个问题。这个特性有可能会被黑客应用。 如果病毒文件隐藏了其真实扩展名“SHS”,而在反病毒软件中设置成扫描指定程序文件,而不是扫描所有文件(如只扫描可执行文件),那么反病毒软件是无法发现病毒的。 SHS 文件破坏力最大的地方就是在它的可执行性。比如,将一个可执行文件和文本文件合并到一个包(Package,RTF 编辑器的对象碎片)里,双击 .shs 文件就会打开这个包,从而可能运行该可执行文件。
SHS文件是一类特殊的OLE(Object Linking and Embedding,对象连接和嵌入)对象,可以由Word文档或Excel电子表格创建。通过选择文档中文本或图像的一块区域,然后拖放该区域到桌面上的某处,就可以创建一个Windows碎片对象,或称为SHS文件(此文件是不可读文件)。但是你可以用任何其它你想要的文件名重新命名SHS文件,或者拖放SHS对象到另一个文档(同样地,你可以剪切和粘贴)。也就是说,我们所输入的命令作为OLE对象嵌入到对象包装程序新建的文件中了,而微软为了能方便的将嵌入到文件的对象进行复制,使用了一种技术Shell ScrapObject(简称SHS),就是说,当你在不同文件间复制对象时,Windows是将对象包装成一个碎片对象来进行复制的。因此,一旦我们不是在文件间进行复制粘贴,而是直接将碎片对象粘贴到硬盘上,就会产生一个.SHS文件。这个碎片对象文件保存了原来对象的所具备的功能,原来对象包含的命令同样会被解析执行,这正是其可怕这处
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)