免责声明
在 Windows 系统中,用户习惯通过文件后缀判断类型,如.jpg 为图片、.exe 为程序。但在信创系统(如统信 UOS、麒麟等)中,仅凭文件名和后缀并不可靠。
恶意文件可伪装成“照片.jpg"实为 ELF 可执行程序,或名为“通知.pdf"实为 Shell 脚本。因此,在信创环境下识别病毒伪装的核心思路是:不看“它叫什么”,而看“它到底是什么”。
病毒伪装文件的常见方式
信创系统下常见的伪装手段主要包括以下四类:
1. 后缀伪装
表面显示为文档、图片或安装包(如工资表.pdf、系统补丁.deb),实际内容可能是脚本、二进制程序或恶意压缩包。
2. 双后缀伪装
利用文件管理器隐藏部分后缀的特性,构造如合同.pdf.sh、发票.jpg.desktop等文件名,诱导用户误判。
3. 图标伪装
.desktop 文件可自定义图标和名称,使其看起来像 PDF 或安装器,但其 Exec 字段实际指向恶意命令。
4. 权限伪装
文件名看似普通文档,却被赋予了执行权限(chmod)。在 Linux 体系中,文件是否可执行取决于权限位而非后缀。
第一步:查看文件属性与权限
获取可疑文件后,切勿直接双击。建议先使用ls -l命令查看文件权限:
pdsyw@pdsyw1024:~/桌面$ ls -ltr 发票.pdf
-rwxrwxr-x 1 pdsyw pdsyw 33 7月 2 16:06 发票.pdf
重点关注权限字符串中的x标识。若名为 PDF 或图片的文件带有执行权限(如-rwxr-xr-x),则极不正常,需高度警惕。
第二步:使用 file 命令识别真实类型
file命令基于文件内容和 Magic Database 识别类型,而非依赖后缀。
正常情况示例:
pdsyw@pdsyw1024:~/桌面$ file 发票.pdf
发票.pdf: PDF document, version 1.7
异常情况示例(伪装成 PDF 的可执行程序):
发票.pdf: ELF 64-bit LSB executable, x86-64, version 1 (SYSV)...
若返回结果显示为 ELF 可执行文件或 Shell 脚本,则说明该文件已被伪装。
第三步:查看 MIME 类型
使用file -i可查看文件的 MIME 类型,进一步确认伪装:
pdsyw@pdsyw1024:~/桌面$ file -i 发票.pdf
发票.pdf: application/pdf; charset=binary
若名为 PDF 却显示为脚本类型,则确认为伪装:
发票.pdf: text/x-shellscript; charset=us-ascii
此外,在桌面环境中也可使用xdg-mime query filetype 文件名进行查询。
第四步:检查文件头(Magic Number)
各类文件拥有固定的文件头标识。可通过head -c结合xxd命令查看:
| 文件类型 | 常见文件头 |
|---|---|
| PNG 图片 | 89 50 4E 47 |
| PDF 文档 | |
| ZIP 压缩包 | 50 4B |
| ELF 可执行文件 | 7F 45 4C 46 |
示例命令:
pdsyw@pdsyw1024:~/桌面$ head -c 16 发票.pdf | xxd
若看到%PDF则符合 PDF 特征;若看到7f 45 4c 46则为 ELF 程序,证实了“图片/文档伪装成程序”的猜测。
第五步:重点排查.desktop 文件
.desktop 文件常被伪装成文档快捷方式。需使用cat查看其内容,重点检查Exec=字段:
[Desktop Entry]
Type=Application
Name=发票
Exec=/tmp/.update/run.sh
Icon=application-pdf
若 Exec 指向临时目录、隐藏目录或包含远程下载执行命令(如curl ... | sh),则极度危险。若 Type 为 Application 但伪装成文档,切勿直接运行。
第六步:审查脚本内容
若识别为脚本,使用head查看前几行。警惕以下高危组合:
- 下载并执行:
curl/wget ... | sh - 赋予权限并运行:
chmod +x后立即执行 - 清理痕迹:
rm -rf - 持久化:
crontab、systemctl enable
典型的恶意逻辑为:下载文件到临时目录 -> 加执行权限 -> 立即运行。
第七步:计算哈希值校验完整性
对于安装包或补丁,使用sha256sum计算哈希值,并与官网提供的数值比对。若不一致,说明文件可能被篡改或损坏,严禁安装。
pdsyw@pdsyw1024:~/桌面$ sha256sum wemeet_3.26.10.401_amd64.deb
第八步:使用杀毒工具辅助扫描
信创系统同样面临病毒威胁。建议使用杀毒软件进行扫描,但需注意工具并非万能,应结合文件来源、类型、权限及行为综合判断。
安全操作建议总结
1. 不信后缀:不要仅凭文件名和图标判断文件类型。
2. 严控权限:勿随意给文件添加执行权限。
3. 来源可信:脚本和安装包优先从官网或应用商店获取。
4. 先查后运:解压或运行前,务必检查文件类型和权限。
5. 核对哈希:重要软件安装前校验 SHA256 值。
6. 警惕特殊文件:对.desktop、.sh、.run 及无后缀文件保持高度警觉。
7. 隔离分析:发现可疑文件先隔离,保留现场以便溯源,勿直接删除所有痕迹。

