此文章為本站（News.Iva.cn)原創,可以自由轉載和傳播,但希望能保留本站的作者和信息來源,謝謝!如果大家對此問題或者關于RM木馬防御的話題感興趣,就一起來伊瓦技術論壇討論吧,地址http://BBs.Iva.cn

    今天訪問一個在線播放的rm鏈接,形式如http://www.****.com/100.rm,訪問后IE直接打開了另外一個站點,初疑為Realone的漏洞,后經過確認,原因分析如下:

    用戶下載RealPlay文件觀看的時候IE自動彈出廣告網站,實際上是影片中添加了彈出窗口的事件,事件(events)是rm文件的特性之一。可以讓所有觀看這些媒體文件的用戶百分百的彈出指定網站，（不受目前所有網站彈出頁面過濾程序的限制）,經過Rm文件事件添加器壓縮過的媒體文件，無論用戶用何種播放器播放都不會被屏蔽，與用戶的主動性沒有任何關系，網頁是在不知不覺中彈出的，用戶無法跳過，無法屏蔽與刪除！目前可以完全彈出網頁的播放器有：超級解霸系列，RealPlay系列播放器，Winamp播放器系列，Media Player Classic播放器系列，以及其他任何 可以播放Real格式文件的非主流播放器，可以說是幾乎沒有屏障！目前支持的添加格式有后綴為：RM，RMVB RAM 的所有音品視頻文件。（Real文件是目前互聯網站上流傳最為廣泛的流媒體格式）
    用戶可以安裝 RealProducer Plus (Realnetworks的官方產品之一) 來對rm文件進行編輯、制作、修改。其安裝目錄下的 RealMediaEditor/rmevents.exe 可執行文件正是用來為rm文件插入事件的命令行程序。

添加彈窗事件和清理事件的方法:

    你可以任意新建一個文本文件，比如iva_events.txt，文件內容如下：

u 00:00:02.0 00:00:8.0 &&_rpexternal&&http://news.iva.cn/

其中，u 是事件標志(Flag)，表示要在文件中插入的是一個url地址， 第2,第三個字段分別表示起止時間點，單位格式是 小時:分:秒.毫秒 最后一個字段是你要彈出的url的地址 ,_rpexternal 參數表示在外部瀏覽器打開url,而不是使用缺省的realplayer內嵌的瀏覽器。保存之后打開命令行窗口，cd到 {RealProducer安裝目錄}/RealMediaEditor 子目錄，執行以下命令：

rmevents -i E:iva.rm -e E:events.txt -o

E:iva.rm

    執行完成之后用播放器播放處理之后的iva.rm文件，當播放到第8秒或者你拖動進度條至3-6秒之間的任一位置，都會彈出一個窗口來。

    知道了彈出窗口的原理，要把惡意rm文件的惡意代碼給去掉也很簡單了。你只要新建一個完全空白的events.txt文本文件，然后重新執行上面的命令行就可以把指定rm文件中的所有事件都清除干凈。

    不過要注意的是，rm事件中除了可以彈出窗口之外，還可以用 i 標志來為剪輯添加一些說明信息或標題。執行上述命令之后所有的標題信息可能也會一并去除。但一般來說我們看rm電影不太會去關心這些剪輯標題信息（何況大部分的標題信息都是些網站的廣告之類），因此關系不大。

   完整的rmevents命令行的使用方法，可以參見安裝目錄下help目錄幫助文檔。