靈異現象 - 我改了檔名它就換了一個檔案格式耶

Credit: 喬瑟夫ChillSeph
靈感來源：UCCU Hacker

靈異現象

隨著小彎慢慢熟悉工作，由於 IT 工作的關係也跟其他部門同事漸漸熟悉，
有一天同事跟他講說：「小彎，我把 .png 改成 .exe 它居然開得起來耶！但它閃了一個黑窗後就開不起來了」

小彎當下的表情：

小彎：「當然開不起來囉，難不成我 .exe 改成 .txt 就能看到原始碼?」
小彎接著說：「但你說畫面有閃小黑窗? 聽起來怪怪的」

真實情況

常見惡意程式有一招可以做 persistence 讓受害者反覆觸發，
而這種方式雖然現在很多防毒軟體可以偵測，但是前提還是防毒軟體要打開。
可以參考歷史文獻(西元 2000年的文章)：http://sysadm.ntpu.edu.tw/virusprogram.html

部分惡意程式會去修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的內容
註: exefile 也可能會是名稱，重點是修改開始的應用程式順序，而為了保證受害電腦持續執行病毒，修改 exe 最為方便。
原先正常內容是 "%1" %*，下面為大家解釋一下內容

• %1 代表 exe 本身，所以你執行 exe 的時候不會透過其他應用程式幫你執行
• %* 代表參數，有些程式要執行必須帶有參數，如果在這邊做修改會導致執行時自動帶入其他參數

那麼惡意程式怎麼做?

在 %1 前面帶入惡意程式的路徑，c:\windows\system32\redirect.exe
實際上會長這樣："c:\winnt\system32\redirect.exe"%1" %*
如此一來就保證了 exe 每次執行都會先跑惡意程式，

那麼到底有沒有可能相同檔案打開來長不一樣?
這就有關你打開一個檔案，它的怎麼去解析了，以技術來說有可能
但絕對不會像是梗圖一樣改個檔名就好

參考資料

• https://docs.microsoft.com/en-us/windows/win32/shell/fa-verbs
• http://sysadm.ntpu.edu.tw/virusprogram.html
• https://www.facebook.com/UCCU.Hacker/photos/a.746549245484834/2043662169106862/