此文章為本站（News.Iva.cn)原創(chuàng),可以自由轉(zhuǎn)載和傳播,但希望能保留本站的作者和信息來源,謝謝!如果大家對此問題或者關(guān)于RM木馬防御的話題感興趣,就一起來伊瓦技術(shù)論壇討論吧,地址http://BBs.Iva.cn

    今天訪問一個在線播放的rm鏈接,形式如http://www.****.com/100.rm,訪問后IE直接打開了另外一個站點,初疑為Realone的漏洞,后經(jīng)過確認(rèn),原因分析如下:

    用戶下載RealPlay文件觀看的時候IE自動彈出廣告網(wǎng)站,實際上是影片中添加了彈出窗口的事件,事件(events)是rm文件的特性之一?？梢宰屗杏^看這些媒體文件的用戶百分百的彈出指定網(wǎng)站，（不受目前所有網(wǎng)站彈出頁面過濾程序的限制）,經(jīng)過Rm文件事件添加器壓縮過的媒體文件，無論用戶用何種播放器播放都不會被屏蔽，與用戶的主動性沒有任何關(guān)系，網(wǎng)頁是在不知不覺中彈出的，用戶無法跳過，無法屏蔽與刪除！目前可以完全彈出網(wǎng)頁的播放器有：超級解霸系列，RealPlay系列播放器，Winamp播放器系列，Media Player Classic播放器系列，以及其他任何 可以播放Real格式文件的非主流播放器，可以說是幾乎沒有屏障！目前支持的添加格式有后綴為：RM，RMVB RAM 的所有音品視頻文件。（Real文件是目前互聯(lián)網(wǎng)站上流傳最為廣泛的流媒體格式）
    用戶可以安裝 RealProducer Plus (Realnetworks的官方產(chǎn)品之一) 來對rm文件進行編輯、制作、修改。其安裝目錄下的 RealMediaEditor/rmevents.exe 可執(zhí)行文件正是用來為rm文件插入事件的命令行程序。

添加彈窗事件和清理事件的方法:

    你可以任意新建一個文本文件，比如iva_events.txt，文件內(nèi)容如下：

u 00:00:02.0 00:00:8.0 &&_rpexternal&&http://news.iva.cn/

其中，u 是事件標(biāo)志(Flag)，表示要在文件中插入的是一個url地址， 第2,第三個字段分別表示起止時間點，單位格式是 小時:分:秒.毫秒 最后一個字段是你要彈出的url的地址 ,_rpexternal 參數(shù)表示在外部瀏覽器打開url,而不是使用缺省的realplayer內(nèi)嵌的瀏覽器。保存之后打開命令行窗口，cd到 {RealProducer安裝目錄}/RealMediaEditor 子目錄，執(zhí)行以下命令：

rmevents -i E:iva.rm -e E:events.txt -o

E:iva.rm

    執(zhí)行完成之后用播放器播放處理之后的iva.rm文件，當(dāng)播放到第8秒或者你拖動進度條至3-6秒之間的任一位置，都會彈出一個窗口來。

    知道了彈出窗口的原理，要把惡意rm文件的惡意代碼給去掉也很簡單了。你只要新建一個完全空白的events.txt文本文件，然后重新執(zhí)行上面的命令行就可以把指定rm文件中的所有事件都清除干凈。

    不過要注意的是，rm事件中除了可以彈出窗口之外，還可以用 i 標(biāo)志來為剪輯添加一些說明信息或標(biāo)題。執(zhí)行上述命令之后所有的標(biāo)題信息可能也會一并去除。但一般來說我們看rm電影不太會去關(guān)心這些剪輯標(biāo)題信息（何況大部分的標(biāo)題信息都是些網(wǎng)站的廣告之類），因此關(guān)系不大。

   完整的rmevents命令行的使用方法，可以參見安裝目錄下help目錄幫助文檔。