Какое расширение у исполняемых файлов
Файл с исполняемым расширением (см. Что такое расширение файла?) в отличие от других форматов файлов, которые только содержат данные, например, музыку, видео, текстовый документ и т.п., могут быть запущены на исполнение. Т.е., если вы открываете файл с одним из исполняемых расширений, ваш компьютер может, без вашего дальнейшего участия, выполнить одну или несколько операций, запрограммированных в этом файле. Это могут быть как полезные действия, например, запуск текстового редактора или интернет-браузера, так и действия несущие в себе опасность для ваших данных или других программ на компьютере, т.е. это может быть компьютерный вирус.
Поэтому, при открытии исполняемых файлов, следует соблюдать повышенную осторожность, особенно, если вы получили этот файл из неизвестного вам источника, например, по почте от неизвестного адресата или с незнакомого сайта.
Примечание: это не полный, но пополняемый список исполняемых расширений файлов. Если вы знаете еще о каком-то исполняемом расширении файла, пожалуйста, сообщите.
Расширение | Формат | Windows | MacOS | Linux | Android | iOS |
---|---|---|---|---|---|---|
ACTION | Automator Action | ● | ||||
APK | Приложение | ● | ||||
APP | Исполняемый файл | ● | ||||
BAT | Batch File | ● | ||||
BIN | Binary Executable | ● | ● | ● | ||
CMD | Command Script | ● | ||||
COM | Command File | ● | ||||
COMMAND | Terminal Command | ● | ||||
CPL | Control Panel Extension | ● | ||||
CSH | C Shell Script | ● | ● | |||
EXE | Исполняемый файл | ● | ||||
GADGET | Windows Gadget | ● | ||||
INF1 | Setup Information File | ● | ||||
INS | Internet Communication Settings | ● | ||||
INX | InstallShield Compiled Script | ● | ||||
IPA | Приложение | ● | ||||
ISU | InstallShield Uninstaller Script | ● | ||||
JOB | Windows Task Scheduler Job File | ● | ||||
JSE | JScript Encoded File | ● | ||||
KSH | Unix Korn Shell Script | ● | ||||
LNK | File Shortcut | ● | ||||
MSC | Microsoft Common Console Document | ● | ||||
MSI | Windows Installer Package | ● | ||||
MSP | Windows Installer Patch | ● | ||||
MST | Windows Installer Setup Transform File | ● | ||||
OSX | Исполняемый файл | ● | ||||
OUT | Исполняемый файл | ● | ||||
PAF | Portable Application Installer File | ● | ||||
PIF | Program Information File | ● | ||||
PS1 | Windows PowerShell Cmdlet | ● | ||||
REG | Registry Data File | ● | ||||
RGS | Registry Script | ● | ||||
RUN | Исполняемый файл | ● | ||||
SCT | Windows Scriptlet | ● | ||||
SH | Shell Script | ● | ● | |||
SHB | Windows Document Shortcut | ● | ||||
SHS | Shell Scrap Object | ● | ||||
U3P | U3 Smart Application | ● | ||||
VB | VBScript File | ● | ||||
VBE | VBScript Encoded Script | ● | ||||
VBS | VBScript File | ● | ||||
VBSCRIPT | Visual Basic Script | ● | ||||
WORKFLOW | Automator Workflow | ● | ||||
WS | Windows Script | ● | ||||
WSF | Windows Script | ● |
Если вы не нашли ответ или нужную информацию, задайте вопрос через форму обратной связи. Или напишите комментарий здесь.
Расширение файла, иногда называемое суффиксом файла или расширением имени файла, представляет собой символ или группу символов после периода, составляющего полное имя файла.
Расширение файла помогает операционной системе , например Windows или macOS , определить, с какой программой на вашем компьютере связан файл .
Например, файл myhomework.docx оканчивается на docx , расширение файла, связанное с Microsoft Word на вашем компьютере. Когда вы пытаетесь открыть этот файл, Windows видит, что файл заканчивается расширением DOCX , которое, как он уже знает, должно быть открыто программой Microsoft Word.
Расширения файлов также часто указывают тип файла или формат файла, но не всегда. Любое расширение файла может быть переименовано, но это не будет преобразовывать файл в другой формат или изменять что-либо в файле, кроме этой части его имени.
Некоторые распространенные расширения файлов включают PNG , MP4 , PDF , MP3 , DOC , SVG , INI , DAT , EXE и LOG .
Так зачем мне знать, какие файлы опасны?
Важно знать, какие расширения файлов потенциально опасны, когда решаете, безопасно ли открывать файл, вложенный в электронное письмо или загруженный из Интернета. Даже файлы заставок могут быть опасны в Windows.
Когда вы сталкиваетесь с одним из этих файлов, вам следует проявить особую осторожность, чтобы убедиться, что вы защищены. Сканирование с использованием предпочтительного антивирусного продукта или даже загрузить его в службу, такую как VirusTotal, чтобы убедиться, что нет вирусов или вредоносных программ.
Очевидно, что антивирусное программное обеспечение всегда должно быть запущено и активно, и оно будет защищать вас в фоновом режиме, но знание о некоторых необычных расширениях файлов может быть полезно для предотвращения чего-то плохого.
Делаем исполняемые файлы
Не будем выдумывать что‑то сверхоригинальное, а остановимся на классическом хелловорлде на С:
Компилировать это дело мы будем с помощью GCC. Современные версии Linux, как правило, 64-разрядные, и входящие в их состав по умолчанию средства разработки (в том числе и компилятор GCC) генерируют 64-разрядные приложения. Мы в своих исследованиях не будем отдельно вникать в 32-разрядные ELF-файлы (по большому счету отличий от 64-разрядных ELF-файлов в них не очень много) и основные усилия сосредоточим именно на 64-разрядных версиях программ. Если у тебя возникнет желание поэкспериментировать с 32-разрядными файлами, то при компиляции в GCC нужно добавить опцию -m32 , при этом, возможно, потребуется установить библиотеку gcc-multilib. Сделать это можно примерно вот так:
Итак, назовем наш хелловорлд example. c (кстати, здесь как раз один из немногих случаев, когда в Linux расширение имеет значение) и начнем с исполняемого позиционно зависимого кода:
Как ты уже догадался, опция -no-pie как раз и говорит компилятору собрать не позиционно независимый код.
Вообще, если говорить правильно, то GCC — это не совсем компилятор. Это комплексная утилита, которая в зависимости от расширения входного файла и опций вызывает нужный компилятор или компоновщик с соответствующими входными данными. Причем из С или другого высокоуровневого языка сначала исходник транслируется в ассемблерный код, а уже затем все это окончательно преобразуется в объектный код и собирается в нужный нам ELF-файл.
В целом можно выделить четыре этапа работы GCC:
- препроцессирование;
- трансляция в ассемблерный код;
- преобразование ассемблерного кода в объектный;
- компоновка объектного кода.
Чтобы посмотреть на промежуточный результат, к примеру в виде ассемблерного кода, используй в GCC опцию -S :
Обрати внимание на два момента. Первый — мы в данном случае не задаем имя выходного файла с помощью опции -o (GCC сам определит его из исходного, добавив расширение *. s , что и означает присутствие в файле ассемблерного кода). Второй момент — опция -masm=intel , которая говорит о том, что ассемблерный код в выходном файле необходимо генерировать с использованием синтаксиса Intel (по умолчанию будет синтаксис AT&T, мне же, как и, наверное, большинству, синтаксис Intel ближе). Также в этом случае опция -no-pie не имеет смысла, поскольку ассемблерный код в любом случае будет одинаковый, а переносимость обеспечивается на этапе получения объектного файла и сборки программы.
На выходе получим файл example. s с таким вот содержимым (полностью весь файл показывать не будем, чтобы не занимать много места):
Что нам понадобится
Вообще, можно позавидовать людям, обитающим в мире Linux, — как правило, в системе «из коробки» идет большое число утилит и программ, которые в Windows необходимо где‑то искать и устанавливать дополнительно, да еще и не всегда бесплатно. В нашем случае для анализа ELF-файлов в Linux присутствует вполне состоятельный арсенал встроенных средств и утилит:
- readelf — с помощью этой утилиты можно практически полностью просматривать все потаенные места ELF-файлов в удобочитаемом виде;
- hexdump — простой просмотрщик файлов в шестнадцатеричном представлении (конечно, до hiew из мира Windows ему далеко, но, во‑первых, он присутствует в системе по умолчанию, а во‑вторых, делает это совершенно бесплатно);
- strings — с помощью этой известной утилиты можно увидеть имена всех импортируемых (или экспортируемых) функций, а также библиотек, из которых эти функции импортированы, названия секций и еще много чего интересного;
- ldd — позволяет выводить имена разделяемых библиотек, из которых импортируются те или иные функции, используемые исследуемой программой;
- nm — может показывать таблицу имен из состава отладочной информации, которая добавляется в ELF-файлы при их компиляции (эта отладочная информация с помощью команды strip может быть удалена из файла, и в этом случае утилита nm ничем не поможет);
- objdump — способна вывести информацию и содержимое всех элементов исследуемого файла, в том числе и в дизассемблированном виде.
Часть перечисленного (кроме hexdump и ldd) входит в состав пакета GNU Binutils. Если этого пакета в твоей системе нет, его легко установить. К примеру, в Ubuntu это выглядит следующим образом:
В принципе, имея все перечисленное, можно уже приступать к анализу и исследованию ELF-файлов без привлечения дополнительных средств. Для большего удобства и наглядности можно добавить к нашему инструментарию известный в кругах реверс‑инженеров дизассемблер IDA в версии Freeware (этой версии для наших целей будет более чем достаточно, хотя никто не запрещает воспользоваться версиями Home или Pro, если есть возможность за них заплатить).
Анализ заголовка ELF-файла в IDA Freeware
Также неплохо было бы использовать вместо hexdump что‑то поудобнее, например 010 Editor или wxHex Editor. Первый hex-редактор — достойная альтернатива Hiew для Linux (в том числе и благодаря возможности использовать в нем большое количество шаблонов для различных типов файлов, среди них и шаблон для парсинга ELF-файлов). Однако он небесплатный (стоимость лицензии начинается с 49,95 доллара, при этом есть 30-дневный триальный период).
Анализ заголовка ELF-файла в 010 Editor
Другие расширения исполняемых файлов
Следующие расширения файлов выполняются только в том случае, если у вас установлено программное обеспечение, которое выполняет команды, содержащиеся в файле.
Если у вас установлена одна из приведенных ниже программ, рассматривайте файлы с соответствующими расширениями как исполняемые и с высокой степенью риска . Если у вас не установлена конкретная программа и вы пытаетесь запустить файл с таким расширением, то появится безобидная ошибка или вообще ничего не произойдет.
Расширения файлов высокого риска | ||
---|---|---|
расширение | Формат | программа |
0xE | Переименованный вирусный файл | F-Secure Internet Security |
73K | Применение TI-73 | TI Connect |
89K | Применение TI-89 | TI Connect |
A6P | Программный файл Authorware 6 | Adobe Authorware |
переменный ток | GNU Autoconf Script | Autoconf |
ACC | GEM Вспомогательный Файл | Gemulator |
ACR | Сценарий ACRobot | ACRobot |
ACTM | AutoCAD Action Macro | AutoCAD |
AHK | Скрипт AutoHotkey | AutoHotkey |
ВОЗДУХА | Установочный пакет Adobe AIR | Adobe AIR |
ПРИЛОЖЕНИЕ | Приложение FoxPro | Visual FoxPro |
ARSCRIPT | Скрипт ArtRage | АртРаг Студия |
В ВИДЕ | Adobe Flash ActionScript File | Adobe Flash |
ASB | Alphacam Stone VB Macro | Alphacam |
AWK | Скрипт AWK | AWK |
AZW2 | Файл приложения Kindle Active Content | Kindle Collection Manager |
ЛУЧ | Скомпилированный файл Erlang | Erlang |
BTM | Пакетный файл 4DOS | 4DOS |
CEL | Селестия Сценарий | Celestia |
CELX | Селестия Сценарий | Celestia |
CHM | Скомпилированный файл справки HTML | Firefox, IE, Safari |
COF | Файл MPLAB COFF | MPLAB IDE |
ЭЛТ | Сертификат безопасности | Firefox, IE, Chrome, Safari |
ДЭК | Пакетный файл подслушивающего | соглядатай |
DLD | Скомпилированная программа EdLog | Edlog |
DMC | Медицинский менеджер сценарий | Мудрец медицинский менеджер |
DOCM | Документ Word с поддержкой макросов | Microsoft Word |
DOTM | Шаблон Word с поддержкой макросов | Microsoft Word |
DXL | Сценарий Rational DOORS | Рациональные ДВЕРИ |
EAR | Файл корпоративного архива Java | Apache Geronimo |
EBM | EXTRA! Основной Макрос | EXTRA! |
EBS | E-Run 1.x Script | E-Prime (v1) |
EBS2 | E-Run 2.0 Script | E-Prime (версия 2) |
ECF | Файл компонента SageCRM | SageCRM |
EHAM | Исполняемый файл ExtraHAM | HAM Programmer Toolkit |
ELF | Файл игры Nintendo Wii | Эмулятор дельфина |
ES | SageCRM Script | SageCRM |
EX4 | Файл программы MetaTrader | MetaTrader |
ExoPC | Приложение ExoPC | EXOfactory |
EZS | EZ-R Stats Batch Script | EZ-R Stats |
ФАС | Скомпилированный файл AutoLISP для быстрой загрузки | AutoCAD |
FKY | FoxPro Macro | Visual FoxPro |
FPI | FPS Creator Intelligence Script | FPS Creator |
FRS | Flash Renamer Script | Flash Renamer |
FXP | Скомпилированная программа FoxPro | Visual FoxPro |
GS | Geosoft Script | Оазис Монтадж |
ВЕТЧИНА | Исполняемый файл HAM | Хэм Runtime |
HMS | HostMonitor Script | HostMonitor |
HPF | Программный файл HP9100A | HP9100A Emulator |
HTA | HTML-приложение | Internet Explorer |
ММВ | Макро Макро | iMacros (дополнение Firefox) |
IPF | Сценарий установщика SMS | Microsoft SMS |
ISP | Настройки интернет-связи | Microsoft IIS |
JAR | Архив Java | Firefox, IE, Chrome, Safari |
JS | Исполняемый скрипт JScript | Firefox, IE, Chrome, Safari |
JSX | ExtendScript Script | Adobe ExtendScript Toolkit |
KIX | KiXtart Script | KiXtart |
LO | Interleaf Скомпилированный Lisp-файл | QuickSilver |
LS | LightWave LScript File | Световая волна |
МАМ | Доступ к книге с поддержкой макросов | Microsoft Access |
MCR | 3ds Max Macroscript или Tecplot Macro | 3ds Max |
MEL | Maya Embedded Language File | Майя 2013 |
MPX | Программа скомпилированного меню FoxPro | Visual FoxPro |
MRC | сценарий mIRC | Mirc |
МИЗ | Скрипт 3ds Max | 3ds Max |
МИЗ | Максвелл Скрипт | Максвелл Рендер |
MXE | Macro Express воспроизводимый макрос | Макро Экспресс |
NEXE | Исполняемый файл Chrome Native Client | Хром |
OBS | Скрипт ObjectScript | ObjectScript |
ORE | Исполняемый руд | Среда выполнения руд |
OTM | Макрос Outlook | Microsoft Outlook |
PEX | Исполняемый файл ProBoard | ProBoard BBS |
PLX | Perl Исполняемый | ActivePerl или Microsoft IIS |
POTM | Шаблон макроса PowerPoint с поддержкой макросов | Microsoft PowerPoint |
PPAM | PowerPoint с поддержкой макросов | Microsoft PowerPoint |
ППСМ | Слайд-шоу с поддержкой макросов PowerPoint | Microsoft PowerPoint |
PPTM | Презентация с поддержкой макросов PowerPoint | Microsoft PowerPoint |
КНР | Файл кода ресурса Palm | Palm Desktop |
PVD | Установочный скрипт | Instalit |
PWC | Файл PictureTaker | PictureTaker |
PYC | Python скомпилированный файл | питон |
ЧЛН | Оптимизированный код Python | питон |
QPX | Скомпилированная программа запросов FoxPro | Visual FoxPro |
RBX | Скомпилированный скрипт Rembo-C | Рембо Инструментарий |
ROX | Активировать исполняемый объект отчета | eReport |
RPJ | Пакетное задание Real Pac | Real Pac |
S2A | Приложение SEAL2 | ТЮЛЕНЬ |
SBS | SPSS Script | SPSS |
SCA | Scala Script | Scala Designer |
ШРАМ | SCAR Script | ШРАМ |
SCB | Scala Опубликованный сценарий | Scala Designer |
SCRIPT | Общий сценарий | Оригинальный движок сценариев 1 |
SMM | Ami Pro Macro | Ами Про |
SPR | Сгенерированный FoxPro экранный файл | Visual FoxPro |
TCP | Программа Tally Compiled | Tally Developer |
THM | Термвуд Макро | Mastercam |
TLB | Библиотека типов OLE | Майкрософт Эксель |
TMS | Сценарий Телемата | Telemate |
UDF | Пользовательская функция Excel | Майкрософт Эксель |
UPX | Ultimate Packer для файла eXecutables | Ultimate Packer для электронных программ |
URL | Интернет-ярлык | Firefox, IE, Chrome, Safari |
VLX | Скомпилированный файл AutoLISP | AutoCAD |
VPM | Vox Proxy Macro | Vox Proxy |
WCM | WordPerfect Macro | WordPerfect |
WIDGET | Yahoo! Виджет | Yahoo! Виджеты |
WIZ | Microsoft Wizard File | Microsoft Word |
WPK | WordPerfect Macro | WordPerfect |
WPM | WordPerfect Macro | WordPerfect |
XAP | Пакет приложений Silverlight | Microsoft Silverlight |
XBAP | Приложение браузера XAML | Firefox, IE |
XLAM | Надстройка Excel с поддержкой макросов | Майкрософт Эксель |
XLM | Книга с поддержкой макросов Excel | Майкрософт Эксель |
XLSM | Книга с поддержкой макросов Excel | Майкрософт Эксель |
XLTM | Шаблон с поддержкой макросов Excel | Майкрософт Эксель |
XQT | SuperCalc Macro | CA SuperCalc |
XYS | Скрипт XYplorer | XYplorer |
ZL9 | Переименованный вирусный файл | ZoneAlarm |
[1] Под «Original Scripting Engine» я подразумеваю любую программу, создавшую сценарий. Было бы невозможно перечислить и постоянно обновлять количество механизмов сценариев, которые могут использовать эти расширения файлов.
Большинство людей знают, что файлы .exe потенциально опасны, но это не единственное расширение файлов, о котором следует помнить в Windows. Существует множество других потенциально опасных расширений файлов — больше, чем вы могли ожидать.
Другой
.REG — файл реестра Windows. Файлы .REG содержат список записей реестра, которые будут добавлены или удалены при их запуске. Вредоносный файл .REG может удалить важную информацию из вашего реестра, заменить ее ненужными данными или добавить вредоносные данные.
Сценарии
.BAT — командный файл. Содержит список команд, которые будут запускаться на вашем компьютере, если вы откроете его. Первоначально используется MS-DOS.
.CMD — Пакетный файл. Аналогично .BAT, но это расширение файла было введено в Windows NT.
.VB , .VBS — файл VBScript. Выполнит включенный код VBScript, если вы запустите его.
.VBE — Зашифрованный файл VBScript. Подобно файлу VBScript, но не легко сказать, что этот файл на самом деле будет делать, если вы запустите его.
.JS — файл JavaScript. Файлы .JS обычно используются веб-страницами и безопасны при запуске в веб-браузерах. Тем не менее, Windows будет запускать файлы .JS вне браузера без песочницы.
.JSE — зашифрованный файл JavaScript.
.WS , .WSF — файл сценария Windows.
.WSC , .WSH — управляющие файлы компонентов сценариев Windows и Windows Script Host. Используется вместе с файлами сценариев Windows.
.PS1 , .PS1XML , .PS2 , .PS2XML , .PSC1 , .PSC2 — сценарий Windows PowerShell . Запускает команды PowerShell в порядке, указанном в файле.
.MSH , .MSH1 , .MSH2 , .MSHXML , .MSH1XML , .MSH2XML — файл сценария Monad. Монада была позже переименована в PowerShell.
программы
.EXE — исполняемый файл программы. Большинство приложений, работающих в Windows, являются файлами .exe.
.PIF — файл информации о программе для программ MS-DOS. Хотя файлы .PIF не должны содержать исполняемый код, Windows будет обрабатывать файлы .PIF так же, как файлы .EXE, если они содержат исполняемый код.
.APPLICATION — установщик приложения, развернутый с использованием технологии Microsoft ClickOnce.
.GADGET — файл гаджета для технологии настольных гаджетов Windows, представленный в Windows Vista.
.MSI — установочный файл Microsoft. Они устанавливают другие приложения на ваш компьютер, хотя приложения также могут быть установлены с помощью файлов .exe.
.MSP — файл исправления установщика Windows. Используется для исправления приложений, развернутых с помощью файлов .MSI.
.SCR — экранная заставка Windows. Заставки Windows могут содержать исполняемый код.
.HTA — HTML-приложение. В отличие от приложений HTML, запускаемых в браузерах, файлы .HTA запускаются как надежные приложения без песочницы.
.CPL — файл панели управления. Все утилиты, найденные на панели управления Windows, являются файлами .CPL.
.MSC — файл консоли управления Microsoft. Такие приложения, как редактор групповой политики и инструмент управления дисками, представляют собой файлы .MSC.
Файлы .JAR — .JAR содержат исполняемый код Java. Если у вас установлена среда выполнения Java , файлы .JAR будут запускаться как программы.
Почему расширение файла потенциально опасно?
Эти расширения файлов потенциально опасны, потому что они могут содержать код или выполнять произвольные команды. Файл .exe потенциально опасен, потому что это программа, которая может делать все что угодно (в рамках функции контроля учетных записей Windows ). Мультимедийные файлы — такие как изображения .JPEG и музыкальные файлы .MP3 — не опасны, потому что они не могут содержать код. (В некоторых случаях вредоносное изображение или другой мультимедийный файл могли использовать уязвимость в приложении для просмотра, но эти проблемы встречаются редко и исправляются быстро.)
Имея это в виду, важно знать, какие типы файлов могут содержать код, сценарии и другие потенциально опасные вещи.
Расширения файлов высокого риска
Мы оценили следующие типы исполняемых файлов как High Risk, потому что практически все компьютеры с указанной операционной системой установлены для выполнения команд, содержащихся в исполняемом файле.
Другими словами, файлы с расширениями, перечисленными ниже, могут быть выполнены с некоторыми основными частями Windows, macOS, Linux и т. Д. Никаких дополнительных программ не требуется.
Потенциально опасные расширения файлов | ||
---|---|---|
расширение | Формат | Операционные системы) |
ДЕЙСТВИЯ | Automator Action | Macos |
APK | заявка | Android |
ПРИЛОЖЕНИЕ | исполнимый | Macos |
ЛЕТУЧАЯ МЫШЬ | Пакетный файл | Windows |
BIN | Двоичный исполняемый файл | Windows, macOS, Linux |
CMD | Командный скрипт | Windows |
COM | Командный файл | Windows |
КОМАНДА | Терминальная команда | Macos |
CPL | Удлинитель панели управления | Windows |
CSH | C Shell Script | macOS, Linux |
EXE | исполнимый | Windows |
GADGET | Гаджет Windows | Windows |
INF 1 | Файл информации о настройке | Windows |
INS | Настройки интернет-связи | Windows |
INX | InstallShield Скомпилированный скрипт | Windows |
IPA | заявка | IOS |
ISU | InstallShield Uninstaller Script | Windows |
РАБОТА | Файл задания планировщика задач Windows | Windows |
JSE | Кодированный файл JScript | Windows |
КШ | Unix Korn Shell Script | Linux |
LNK | Ярлык файла | Windows |
MSC | Microsoft Common Console Документ | Windows |
MSI | Пакет установщика Windows | Windows |
MSP | Исправление установщика Windows | Windows |
MST | Файл преобразования установки установщика Windows | Windows |
OSX | исполнимый | Macos |
ИЗ | исполнимый | Linux |
PAF | Файл установщика портативного приложения | Windows |
PIF | Файл информации о программе | Windows |
PRG | исполнимый | GEM |
PS1 | Командлет Windows PowerShell | Windows |
REG | Файл данных реестра | Windows |
RGS | Скрипт реестра | Windows |
БЕГ | исполнимый | Linux |
SCR | Выполняемая заставка | Windows |
SCT | Windows Scriptlet | Windows |
SHB | Windows Document Shortcut | Windows |
SHS | Shell Scrap Object | Windows |
U3P | Умное приложение U3 | Windows |
VB | VBScript файл | Windows |
VBE | VBScript Кодированный скрипт | Windows |
VBS | VBScript файл | Windows |
VBSCRIPT | Visual Basic Script | Windows |
WORKFLOW | Automator Workflow | Macos |
WS | Windows Script | Windows |
WSF | Windows Script | Windows |
WSH | Настройки скрипта Windows | Windows |
[1] Чтобы выполнить INF-файл, вы должны открыть всплывающее меню (обычно щелкнув правой кнопкой мыши на файле) и выбрать « Установить» .
Подопытные экземпляры
В Linux (да и во многих других современных UNIX-подобных операционных системах) формат ELF используется в нескольких типах файлов.
- Исполняемый файл — содержит все необходимое для создания системой образа процесса и запуска этого процесса. В общем случае это инструкции и данные. Также в файле может присутствовать описание необходимых разделяемых объектных файлов, а также символьная и отладочная информация. Исполняемый файл может быть позиционно зависимым (в этом случае он грузится всегда по одному и тому же адресу, для 32-разрядных программ обычно это 0x8048000 , для 64-разрядных — 0x400000 ) и позиционно независимым исполняемым файлом (PIE — Position Independent Execution или PIC — Position Independent Code). В этом случае адрес загрузки файла может меняться при каждой загрузке. При построении позиционно независимого исполняемого файла используются такие же принципы, как и при построении разделяемых объектных файлов.
- Перемещаемый файл — содержит инструкции и данные, при этом они могут быть статически связаны с другими объектными файлами, в результате чего получается разделяемый объектный или исполняемый файл. К этому типу относятся объектные файлы статических библиотек (как правило, для статических библиотек имя начинается с lib и применяется расширение *. a ), однако, как мы уже говорили, расширение в Linux практически ничего не определяет. В случае статических библиотек это просто дань традиции, а работоспособность библиотеки будет обеспечена с любым именем и любым расширением.
- Разделяемый объектный файл — содержит инструкции и данные, может быть связан с другими перемещаемыми файлами или разделяемыми объектными файлами, в результате чего будет создан новый объектный файл. Такие файлы могут выполнять функции разделяемых библиотек (по аналогии с DLL-библиотеками Windows). При этом в момент запуска программы на выполнение операционная система динамически связывает эту разделяемую библиотеку с исполняемым файлом программы, и создается исполняемый образ приложения. Опять же традиционно разделяемые библиотеки имеют расширение *. so (от английского Shared Object).
- Файл дампа памяти — файл, который содержит образ памяти того или иного процесса на момент его завершения. В определенных ситуациях ядро может создавать файл с образом памяти аварийно завершившегося процесса. Этот файл также создается в формате ELF, однако мы о такого рода файлах говорить не будем, поскольку задача исследования дампов и содержимого памяти достаточно объемна и требует отдельной статьи.
Для наших изысканий нам желательно иметь все возможные варианты исполняемых файлов из перечисленных выше, чем мы сейчас и займемся.
Изменение программы, открывающей файл
Расширения файлов помогают Windows или другим используемым вами операционным системам определять, какую программу использовать для открытия файлов такого типа. Большинство расширений файлов, особенно те, которые используются обычными форматами изображений, аудио и видео, обычно совместимы с несколькими установленными вами программами.
Если существует несколько программ, которые могут открыть файл, вы можете открыть их с помощью выбранной вами программы в Windows . В операционной системе Mac просто щелкните файл правой кнопкой мыши и выберите « Открыть с помощью …», чтобы просмотреть список программ, которые можно использовать для открытия файла (включая параметр программы по умолчанию).
Другой способ открыть файл другой программой — переименовать расширение файла. Например, если у вас есть файл RTF, который открывается в WordPad, но вы хотите, чтобы он всегда открывался в Блокноте, вы можете переименовать файл в file.txt, поскольку Блокнот распознает файлы TXT, а не файлы RTF.
Есть несколько способов сделать это в Windows, но самый простой способ — отключить опцию «скрывать расширения для известных типов файлов», чтобы вы могли видеть расширение файла после имени файла и изменять его на любое другое.
Откройте диалоговое окно Выполнить с помощью WIN + R .
Введите контрольные папки .
Перейдите на вкладку « Просмотр ».
Снимите флажок « Скрыть расширения для известных типов файлов» .
Файл с исполняемым расширением файла означает , что формат файл поддерживает некоторые возможности для запуска автоматического задания. Это отличается от других форматов файлов, которые просто отображают данные, воспроизводят звук или видео или иным образом представляют контент без выполнения системной команды.
Другими словами, если вы откроете файл с одним из этих расширений, ваш компьютер может без вашего разрешения запустить одну или несколько операций, запрограммированных в этом файле.
Проще говоря, эти файлы принадлежат программам, сценариям или программным расширениям и плагинам . Они предназначены для запуска и работы на вашем компьютере, только вы не можете быть точно уверены, что они работают или делают. Вот почему всегда важно запускать их только тогда, когда они приходят из надежного источника или с веб-сайта.
Эти операции могут повредить, если, например, вам нужно запустить зараженный вирусом исполняемый файл, полученный по электронной почте от кого-то, кого вы не знаете.
Пожалуйста, соблюдайте осторожность перед открытием любого исполняемого файла, особенно тех, которые получены в подозрительных электронных письмах или загружены с незнакомых веб-сайтов.
Это не полный список расширений исполняемых файлов, а также список опасных, но не исполняемых типов файлов.
Расширения файлов против форматов файлов
Расширения и форматы файлов часто упоминаются взаимозаменяемо. В действительности, однако, расширение файла — это просто символы, которые появляются после точки, в то время как формат файла говорит о том, как организованы данные в файле.
Например, в имени файла mydata.csv расширение файла — csv , что указывает на то, что это файл CSV . Пользователь компьютера может переименовать этот файл в mydata.mp3, однако это не означает, что вы можете воспроизвести файл на смартфоне . Сам файл по-прежнему представляет собой строки текста (файл CSV), а не сжатую музыкальную запись (файл MP3).
Офисные макросы
.DOC , .XLS , .PPT — документы Microsoft Word, Excel и PowerPoint. Они могут содержать вредоносный код макроса.
.DOCM , .DOTM , .XLSM , .XLTM , .XLAM , .PPTM , .POTM , .PPAM , .PPSM , .SLDM — Новые расширения файлов, представленные в Office 2007. Символ M в конце расширения файла указывает, что документ содержит макросы. Например, файл .DOCX не содержит макросов, а файл .DOCM может содержать макросы.
Это не исчерпывающий список. Существуют другие типы расширений файлов, такие как .PDF, которые имеют ряд проблем с безопасностью. Однако для большинства типов файлов, указанных выше, их просто нет. Они существуют для запуска произвольного кода или команд на вашем компьютере.
Как будто количество потенциально опасных расширений файлов для отслеживания было недостаточным, уязвимость в Windows позволяет злоумышленникам маскировать программы с поддельными расширениями файлов .
Если в мире Windows исполняемые файлы представлены в формате Portable Executable (PE), то в Linux эта роль отведена файлам в формате Executable and Linkable Format (ELF). Сегодня мы заглянем внутрь таких файлов, немного поисследуем их структуру и узнаем, как они устроены.
Сразу отмечу, что в отличие от Windows в Linux от расширения файла не зависит практически ничего (за совсем небольшим исключением). Тип и формат файла определяется его внутренним содержимым и наличием тех или иных атрибутов, поэтому файлы в формате Executable and Linkable Format могут иметь любое расширение.
Ярлыки
.SCF — командный файл Windows Explorer. Может передавать потенциально опасные команды в Windows Explorer.
.LNK — ссылка на программу на вашем компьютере. Файл ссылок может потенциально содержать атрибуты командной строки, которые делают опасные вещи, такие как удаление файлов без запроса.
.INF — текстовый файл, используемый AutoRun. При запуске этот файл может потенциально запускать опасные приложения, которые он поставлял, или передавать опасные параметры программам, включенным в Windows.
Читайте также: