攻击者如何利用 Extension Spoofing 以及我如何构建工具来阻止他们
发布: (2026年2月9日 GMT+8 09:02)
2 分钟阅读
原文: Dev.to
Source: Dev.to
功能说明
- 使用 inotify(Linux)或 watchdog(Windows)监控文件的创建/修改。
- 验证文件扩展名是否与其魔数匹配(例如
invoice.pdf实际上是 PDF)。 - 自动隔离不匹配的文件。
- 生成符合 SIEM 要求的 JSON 日志,兼容 Splunk、ELK、Wazuh 等平台。
- 包含 SHA‑256 哈希和用户归属信息。
构建初衷
勒索软件及其他恶意软件常通过简单地更改可执行文件的扩展名来规避检测(例如 malware.exe → invoice.pdf)。该工具提供实时校验,阻止此类扩展名欺骗。
安装
Linux
curl -sSL https://raw.githubusercontent.com/AnasRm01/file-validator/main/install.sh | sudo bashWindows
- 从仓库下载
install-windows.bat。 - 以管理员权限运行该批处理文件。
使用场景
- Web 服务器的上传目录(例如
/var/www/uploads) - 共享网络磁盘
- 员工的 “Downloads” 文件夹
- 合规日志(PCI‑DSS 要求文件完整性监控)
性能表现
- 内存占用:<10 MB RAM
- CPU 影响:<1 %
- 事件驱动架构(无持续扫描循环)
- 已在 CentOS、Ubuntu、Windows 10/11 上测试
源代码
欢迎反馈!还有哪些文件类型需要加入?