只是一个关于计算机安全的一般问题 - 如果我从不受信任的来源下载 .pdf 或 .docx,它会严重损害我的机器/让恶意用户访问我的信息吗?或者它以某种方式被沙箱化了?
(对不起,如果有不同的 Stack Exchange 我应该发布这个。)
Ric*_*lka 18
PDF 文件最近变得越来越危险。关闭 Javascript 和/或使用不同的查看器(另一个答案提到了这一点,不确定他为什么被降级)。
实际上,文件可以通过不同的方式来跟踪您。
原始可执行文件。.exe、.scr、.com、.bat 等……人们在他们的计算机上运行的普通可执行文件。你永远不会这样做吧?你下载的屏幕保护程序怎么样(是的,.scr 只是一个带有特殊命令行的 .exe 来连接到屏幕)。旧病毒利用 Explorer 隐藏扩展。你认为是 hotgirl.jpg 的其实是 hotgirl.jpg.exe,资源管理器会隐藏 .exe,因为它是一个“已知”扩展名,你只会看到 hotgirl.jpg,点击它,然后拥有。
可执行数据 - 宏/javascript。MS Office Docs 具有完整的宏语言,可以访问邮件和文件系统。Internet Explorer 以及对 ActiveX 控件的访问。Adobe Acrobat PDF 最近因 Javascript 漏洞而声名狼藉。这些是您阅读的所有 Mozilla/IE 错误。有时这些是“沙盒”的,这意味着它们被赋予了一个玩的地方,理论上不应该伤害你计算机的其余部分,但只有 Chrome 有一个非常可靠的沙盒。
解析错误。程序中的错误会导致代码执行。在程序中,您认为执行代码和传入数据是分开的,但实际上它们混合在称为堆栈或堆的几个区域中。如果我是一个聪明而邪恶的程序员,我可以在我给你的数据中向你传递代码并欺骗你的程序来运行它。许多图像漏洞都是以这种方式发生的。PDF阅读器也有这些。文档越复杂,就越有可能出现这些错误(这就是 PDF 阅读器有很多漏洞的原因)。
因此,PDF 文件既复杂(在解析可用于恶意软件的代码中很容易出现错误),又包含 Javascript,可用于恶意目的。与 MS Word 文件相同。
什么是安全的?不多。几乎所有东西都有漏洞。纯文本文件可能是最安全的,因为很少有东西以任何方式“解析”它们。但是即使是少量的结构也需要解析器,解析器会产生错误。XML 是文本,它会被利用。Docx 是 XML 的 zip 文件,这可能是不安全的。
简而言之,它很糟糕。几乎所有的东西都是危险的。给自己打补丁(许多漏洞来自错误) 获得防病毒软件,不要使用 IE,使用 Chrome 或 Mozilla。嗯,没有真正好的答案。
至于沙箱,正如其他人所说,尝试谷歌文档,它是他们机器上可以玩的解析器,而不是你的机器。据我所知,Word 和 Reader 都没有真正的沙盒。两者都允许您关闭代码(宏或 Javascript),您应该这样做,但这不是完整的沙盒。
(很晚了)编辑: RE:'不受信任的来源'。所有来源都不可信任。自从第一个 Outlook 病毒足够聪明地向您的联系人列表中的人发送附件以来,电子邮件附件就一直不可信。如果我可以破解一些网络服务器,那么一些网络服务器就会从可信来源变为不可信来源。当心所有。
小智 6
正如这些成员所说,并且我同意,无论文件扩展名是什么(.exe、.jpeg. .pdf),都不能完全信任来自 Internet 的文件。
只要你有一个好的扫描工具,比如 Norton Antivirus 2011,或者类似的东西,下载时就应该扫描它。如果没有,请务必在打开前扫描文件。
| 归档时间: |
|
| 查看次数: |
14225 次 |
| 最近记录: |