用FOXY抓檔 三思而後行

作者: Adlib (0?介紹八七水災的災? 看板: Gossiping
標題: [轉錄][轉貼] 用FOXY抓檔！？三思而後行！完全解析FO …
時間: Tue Sep 25 02:23:53 2007

※ [本文轉錄自 P2PSoftWare 看板]

作者: veloci85 (廢龍) 站內: P2PSoftWare
標題: [轉貼] 用FOXY抓檔！？三思而後行！完全解析FOXY分享原理！
時間: Sat Mar  3 21:10:33 2007

轉自台灣論壇 — 病毒防駭
作者：莫斯科指揮官

相信有不少人曾經或正在使用FOXY，這篇文章就是要帶你全盤了解FOXY的運作原理！
希望你能耐著性子看完。這篇文看起來很長，但是內容相當容易懂。
如果你深深體悟到使用FOXY的疑慮，歡迎你把這篇文章轉貼給你的好友看。
這篇文寫出來用意就是要大家在使用軟體時都能了解其相關的原理啦
如果你認為本文有轉載價值的話，都歡迎你轉載到其他地方。
當然也請盡到網路禮儀，附上轉貼來源

一、為何它那麼熱！？
我曾經在即時通好友名單中隨機挑選20人來詢問有關FOXY的問題，
而其中15人曾經用過FOXY，可見它有多紅。
為何它紅？根據多半數的網友說法，皆集中於兩個點：方便、快速。
方便這點我能深深體會。比起BT要去找資源檔、eMule要找伺服器，
FOXY單靠一條搜尋棒就能輕鬆找到自己要的東西，
對懶惰的免費主義者絕對是個再好不過的分享平台。
那快速呢？這點在我測試的期間，基本上沒有太大的感覺；
加上系統傳送封包數不斷飆高，且在BT優化世界中
連對Tracker伺服器的連線次數都斤斤計較的狀況下，我不得不對這點打上一個問號。
這點跟FOXY的分享原理有關，先保留，等一下就會提到。

二、是天使，還是惡魔？
在網路社群中，對於FOXY的評價正反兩極都有——
為什麼有的人用FOXY老是中毒卻渾然不知，有的人卻怎麼抓都沒事！？

A. 網路上好壞人都有
   各位都知道FOXY是以一個資料夾為一個單位，隨便檔案丟進去就分享出去了；
   再者，FOXY搜尋"完完全全"是靠關鍵字（檔名）來搜尋，
   不像BT有Torrent當媒介，也沒有eMule的評分機制當後盾；有安全性可言嗎？

B. 下載的檔案性質不同
   重點來了，有人說用FOXY下載MP3等性質單純的檔案就好了。
   看起來很有道理，但前面已經提到過了：搜尋是以關鍵字（檔名）來搜尋，
   檔案要怎樣是隨發佈者高興。
   所以如果今天你拿某遊戲當作關鍵字搜尋，那一定會搜尋到不少有關「帳號密碼」
   或是「密碼搜尋器」等看起來很棒的程式或檔案。如果你抓了，那你就上當了！
   為什麼？下面再解釋。

C. 使用習慣
   FOXY 預設是一開機就會啟動，但多半數的使用者根本不知道該如何把它關閉。
   這又跟他的分享機制有關係了。
   前面已經提到，「分享是以一個資料夾為單位」。
   理論上一個資料夾在網路上隨意的分享出去是相當危險的一件事，
   況且你還長時間掛在網路上

D. 不明白分享原理
   如前面一直強調的，分享原理的確很重要。
   有些小朋友根本不知道所謂的「分享資料夾」，看到設定項目就隨便勾，
   不小心就把C碟整個分享出去，帶有密碼資訊的cookies也連帶分享出去了！

三、分享原理解析
看以下破破的流程圖，就可以大致了解：
http://images.8-95.com/out.php/i1165_FOXY.jpg

這樣幾個疑問就能解釋了——
A. 為何開FOXY就無時無刻的對外丟封包？
   因為你必須無時無刻與FOXY伺服器連線，並回應搜尋方的搜尋要求

B. 怎麼就算沒分享任何資料夾或檔案，還是有送大型封包出去？
   因為你用FOXY一定會下載檔案，而這些檔案會放到FOXY資料夾中的TEMP資料夾；
   基於檔案共享的原則，這個資料夾在FOXY是強制分享的。

至於先前有網友指出FOXY不會理會該設定項目，執意分享所有系統檔案的問題，
在此稍作解釋：
在下使用的是從官方抓下來的1.9版，
在測試期間（約10天）是沒有出現「非分享資料夾因FOXY分享佔用導致拒絕存取」的問題
所以在下推測這個問題的原因有幾個可能：
  1. 使用非官方版本的FOXY（網路上好像有流傳加強版或是改造版的FOXY）
  2. 於不明地點抓取舊版本軟體（軟體分享機制可能遭修改）
  3. 在下測試時間不夠長
但是根據我的試用心得，透過搜尋可以找到一些系統檔案
以及桌面上的.lnk（捷徑），而且數量還不少！
各位明白了吧？誰會沒事幹在分享資料夾放系統檔案以及桌面上的捷徑？
關於這點要拉長測試時間才能解釋了。

C. 抓的檔案明明就是MP3或是JPG甚至TXT，為何還是中標？
   這又跟FOXY的搜尋機制有關了。
   FOXY的搜尋機制完完全全是單靠「檔名」以及系統註冊的「檔案類型」
   來比對關鍵字搜尋的資料。這樣產生了幾個問題:
   1. 檔案合併夾藏惡意程式
      會使用命令字元的人都知道一個小技巧——檔案合併。
      用簡單的語法就可以合併兩個不相干的檔案，
      而只要開啟的程式接受，這兩個檔案都可以正常使用。
      這樣一來JPG圖檔跟MP3這類看似單純的檔案也變的不單純了。

參考文獻：台灣微軟Technet技術中心 — 關於合併檔案的項目
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-cht/
library/ServerHelp/4b0b8777-8f1b-4f86-a8e9-4b38f1b00064.mspx
縮址：http://0rz.tw/7a2rq

   2. RM/RMVB本身格式的漏洞
      這應該不用多解釋了。
      有抓過此類影片的網友應該多多少少都有遇到過其中夾藏廣告的影片，
      如果今天夾藏的不是廣告，而是一個0大小的惡意網頁，那這樣你又中標了。

參考文獻：看RMVB影片也中招 教你查殺媒體文件病毒（台灣論壇文章）
          http://www.twbbs.net.tw/1362895.html

   3. 功能強大卻邪惡的自解檔
      有很多好用的程式都是這樣重新封包變木馬的：
      先把木馬跟程式綁在一起壓縮，然後做成EXE的自解檔。
      有興趣的話可以開WinRAR自己做看看。
      設定木馬的存放位置並自動執行正常的程式，
      這樣一來看似啟動之後沒有異狀的程式也變成夾藏木馬的「偽」程式了

   4. 不良的解壓縮方式
      想必很多人看到需要解壓縮的檔案（尤其是需安裝程式）
      都是直接跳過解壓縮的步驟，直接選擇Setup來安裝。
      嘿嘿，問題就出在這裡！
      RAR 預設無論你執行其中的哪個檔案，都會對壓縮檔中的所有檔案做解壓縮；
      如果裡面夾藏了像之前的熊貓病毒或是隨身碟病毒，
      檔案放到了TEMP暫存資料夾，就能觸發病毒執行了

想必各位看到上面的解析應該都……嗯，心裡想就好。

四、那要怎麼抓的安心，用的放心？
A. 看起來很棒的程式或檔案別抓
   像是帳號密碼、改IP、雙視窗、外掛加速等都可能是隻大木馬！

B. 檔案性質與檔案大小相差太大的別抓
   像是一個MP3如果只有幾百K，你應該不相信吧？這就別抓！

C. 來源太少的別抓
   這其實不是一個好的判斷方式，但這也是最基本的方式。
   當然刻意想要散佈病毒得人還是可以開好幾台電腦分享同一個檔案。

D. 老生常談——確實對檔案做掃描
   雖然不見得能百分之百靠防護軟體確認檔案安全性，但至少多分保障。

五、結論：還是少用為妙
FOXY是個很好且方便的分享平台，但是極度缺乏檔案的驗證機制或評分機制，
在網路上散佈假檔的環境下，使用者下載幾乎可以說是毫無保障可言。
所以在分享機制尚未健全的情況下，還是少用為妙！

最後補充：先前有網友指出FOXY在關閉之後還是會偷偷在背景啟動的問題
在我測試中是沒有遇到過，以後有時間再針對本文無法解釋的兩個疑慮作測試。

--
       中華民國網路安全自治學會論壇
        http://nisaa.serveblog.net
        網路安全推廣‧歡迎參觀指教

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.229.117.127
推 tertwo:推一個!                                                  03/03 21:15
推 mgcmsc:推...                                                    03/03 21:26
推 kira925:推                                                      03/03 21:37
推 Carrarese:推  長知識了                                          03/03 21:45
推 Alon:推                                                         03/03 22:15
推 ccbbaa:推 !!!狠詳盡                                             03/03 22:47
推 YAGAMI2005:推！增長知識                                         03/03 23:56
推 yaii:推                                                         03/04 00:08
推 gkk886:推～                                                     03/04 01:10
推 boyofwind:推一個 希望版主能M起來                                03/04 01:23
推 cress0128:推 我搜尋一下別人的cookie看看                         03/04 01:33
推 sleepjoey:推~~謝謝解答~                                         03/04 02:06
推 alft:真是一篇好文啊                                             03/04 02:08
※ [1;32mpase139 [0;32m:轉錄至看板 share                                        03/04 02:28
推 dan3152308:推`                                                  03/04 10:59
推 f1234518456:推阿~~~~ 不過沒開過XD                               03/04 13:06
推 king3000:推推推~~                                               03/04 14:15
※ [1;32mking3000 [0;32m:轉錄至看板 TFSHS66th318                                03/04 14:19
※ [1;32mselient [0;32m:轉錄至看板 KS95-319                                     03/04 15:40
※ [1;32mkaighyns [0;32m:轉錄至看板 KS94-313                                    03/04 16:36
噓 xiaoa:我只能說,這篇文對於無知的人很有用.                        03/04 18:35
推 dalconan:樓上噓的意思是??                                       03/04 19:00
→ doa99:這樣就叫"完全解析"喔 太誇張了 叫基礎入門還差不多          03/04 19:54
推 ShauEn:推一個 好文                                              03/04 20:42
→ veloci85:在下只是轉貼而已啊……再說用FOXY的電腦白痴應該比高手   03/04 20:59
→ veloci85:多很多吧XD                                             03/04 21:00
※ [1;32mBULOVA [0;32m:轉錄至看板 PSJH5-305                                     03/05 00:36
→ yohko:對會用FOXY的的確是完全解析阿...(笑                        03/05 01:12
推 oo0oo:                                                          03/05 05:29
推 MasterH:不管怎樣，都要推薦這篇文章，講得很好！                  03/05 08:00
推 wondada:恩~其實我最怕室友使用FOXY= ="因為無法限流 他也不會      03/05 09:44
→ wondada:都會害的大家無法上網= =" 講又不太聽 囧                  03/05 09:46
推 tzeng9518:真是一篇詳盡的文章...大力的推                         03/05 18:08
※ [1;32mcurtis816 [0;32m:轉錄至某隱形看板                                      03/05 20:50
推 tomjack0405:大推                                                03/05 20:50
推 dsync:感覺沒提到重點...上述的情況所有的P2P軟體都有...           03/06 19:20
→ CCEZEROS:好用文章...可是看不懂的人應該也不少...^^b              03/08 02:36
推 shark0321:借轉：）                                              03/08 20:50
※ [1;32mshark0321 [0;32m:轉錄至看板 CSMU-Psy                                   03/08 20:50
→ Leika:這篇說得很好呀~除了一下載馬上掃毒掃木馬外，還有一步是     03/20 16:39
→ Leika:改檔名...如果檔名不能改表示正被使用中！趕快掃出木馬程式~  03/20 16:40
→ Leika:如果連這篇都看不懂的話，真的別下載好...中毒得不償失...    03/20 16:41
推 yongguo:                                                        03/29 22:05
推 beya:推推推~~您真專業!!                                         04/13 18:05
※ [1;32mJFCC [0;32m:轉錄至某隱形看板                                           04/15 19:39
※ [1;32mIminXD [0;32m:轉錄至看板 TNFSH9610                                     09/22 23:16

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 123.194.69.20
噓 dog79721:時間: Sat Mar  3 21:10:33 2007                         09/25 02:25
→ jacvky:這不算八卦吧? 常用P2P的都知道FOXY很垃圾..                09/25 02:25
推 CombatSniper:Gnutella其實不錯 不過台灣都沒人用 ="=              09/25 02:27
推 sickiam:從來不用防毒    從來沒因為 p2p 中過毒                   09/25 02:31
推 ncubios:FOXY的確很垃圾                                          09/25 02:32
推 novalove:狐狸抓的到的冷門玩意太少,我大多還是用驢子....          09/25 02:32
推 Assyla:看過最毒的應該是WinMx，雖然抓日本的東西很方便            09/25 02:34
推 gomi:給小朋友跟女人用的                                         09/25 02:37
推 baijee:用Foxy搜尋"日記"、"論文"可以找到一堆東西…               09/25 02:38
推 hatebus:除了想抓某些東西才會灌 其餘刪除                         09/25 03:03
推 spiritdance:從頭看到尾 gomi講得最對 這兩類的人也不會看這篇文章  09/25 03:42
→ spiritdance:講再多 也是宅男自high而已  用的人還是在用           09/25 03:43
→ nonoise:現在宅男的範圍真是越來越廣啊樓上XDDDDDDDDDDDDDDDDDDDDD  09/25 07:07
推 serica:事實證明它並沒有被市場淘汰                               09/25 08:06
推 spiritdance:沒有變廣啊  宅男都可以是某一領域的專家啊            09/25 08:14
→ spiritdance:你講翻譯好了  不宅在家裡幾個月半年的  怎麼翻得完    09/25 08:14
※ [1;32mAnigiAnigi [0;32m:轉錄至看板 CPU_FC731                                 09/25 08:21
噓 a1234957:完全不怕中毒　沒八卦　亂轉一通                         09/25 09:18
→ joumay:那怎麼不把後面一堆也轉過來....果然狐狸是...............  09/25 09:42
※ [1;32mza055138 [0;32m:轉錄至看板 YP96-314                                    09/25 10:05
推 stevenangel:再重灌就好 沒在怕的                                 09/25 10:48
推 homer0403:從來不用防毒    從來沒因為 p2p 中過毒   再+1          09/25 10:58
噓 labbs:廢文 根本沒說到重點                                       09/25 11:00
噓 withoutdodo:不怎樣的一篇文                                      09/25 11:10
噓 Octavius1202:你現在把小狐抓出來以後宅男不就沒電腦可以修了       09/25 11:22
推 daniel229:推 很實用                                             09/25 11:50
推 leavelove:敢問gomi版友的界定是不是不大尊重?                     09/25 13:05
推 KyA:女生愛抓連續劇的好東西啊..後來直接給他們愛噹噹的帳號下載xd  09/25 14:51
推 kuter:用foxy的人我認為真的都是不怕死的                          09/25 17:57
推 cashko:我用foxy很方便，從沒中過毒= =，不過速度並不快            09/26 01:00