@ZEAL Blog·厉
WWW Zeal Blog
We stand alone,
TOGETHER.

清除恶意RM文件的弹出窗口广告

Posted by zeal on 2005-06-09 15:11 , 1482 characters |  + 0 - 1   English
转载请保留本行原始出处声明信息 : http://www.zeali.net/entry/83 MaDe1nZEAL
标签 ( 网络 ):  ,  , 
近日,江民公司反病毒中心监测到,有国内黑客在网络上疯狂发布经过特殊编辑的rm影音文件。无论用户使用任何常用播放软件(如RealPlayer、解霸系列、Winamp等),只要打开此文件时,会弹出恶意广告,连接恶意网址。除rm后缀的文件外,.rmvb、.ram后缀的文件同样存在此安全隐患。

江民反病毒专家介绍说,此次截获的恶意rm文件,和2004年9月份以来接连爆出的RealPlayer安全漏洞无关,是通过向rm文件中添加正常事件数据而成的。也正因为如此,除RealPlayer外,当用户使用其他常用播放软件(如解霸系列、Winamp等)打开恶意rm文件时,也都会弹出广告窗口,链接恶意网站,造成中毒。

给普通rm文件加入弹出广告功能,操作并不复杂,现在网上已经出现具备类似功能的共享软件。

那么有没有办法清除这些RM文件的弹出窗口广告呢?

实际上可以在影片中添加事件(events)是rm文件的特性之一。用户可以安装 点击下载RealProducerPlus RealProducer Plus (Realnetworks的官方产品之一) 来对rm文件进行编辑、制作、修改。其安装目录下的 RealMediaEditor/rmevents.exe 可执行文件正是用来为rm文件插入事件的命令行程序。

你可以任意新建一个文本文件,比如myevents.txt,文件内容如下:

u 00:00:08.0 00:00:20.0 &&_rpexternal&&http://www.zeali.net/

其中,
    u 是事件标志(Flag), 表示要在文件中插入的是一个url地址,
    第2,第三个字段分别表示起止时间点,单位格式是 小时:分:秒.毫秒
    最后一个字段是你要弹出的url的地址 ,
    _rpexternal 参数表示在外部浏览器打开url,
    而不是使用缺省的realplayer内嵌的浏览器。


保存之后打开命令行窗口,cd到 {RealProducer安装目录}/RealMediaEditor 子目录,执行以下命令:

rmevents -i D:\MovieOriginal.rm -e D:\myevents.txt -o D:\movieWithPopup.rm

执行完成之后用播放器播放处理之后的movieWithPopup.rm文件,当播放到第8秒或者你拖动进度条至8-20秒之间的任一位置,都会弹出一个窗口来。

知道了弹出窗口的原理,要把恶意rm文件的恶意代码给去掉也很简单了。你只要新建一个完全空白的myevents.txt文本文件,然后重新执行上面的命令行就可以把指定rm文件中的所有事件都清除干净。

不过要注意的是,rm事件中除了可以弹出窗口之外,还可以用 i 标志来为剪辑添加一些说明信息或标题。执行上述命令之后所有的标题信息可能也会一并去除。但一般来说我们看rm电影不太会去关心这些剪辑标题信息(何况大部分的标题信息都是些网站的广告之类),因此关系不大。

完整的rmevents命令行的使用方法,可以参见安装目录下help目录帮助文档。

Last Modified on 2006-06-29 12:22
没有评论.
Since 2005.04.27  梦想 就像鸡蛋 要么孵化 要么臭掉RSS Feed (Entries) | About me | Back To Home | @ZEAL | zbird.com | 沪ICP备05024379号