как работает вирус в картинке?

[Utkin]

Цитата:

Сообщение от Smitt&Wesson

Когда делаем двойной щелчёк - по содержанию.
Вот и всё! Удачи.

И отлавливается каким-нибудь AVG .

[Ulex]

Цитата:

На самом деле всё очень просто.
Дело в том, что Винда опознаёт файлы не по расширению, как казалось бы, а по первым 3 байтам самого файла.

Да ладно. Я взял честный exe и переименовал его в bmp. Судя по вашей логике должна была программа моя запуститься. А запускается Paint. Запускается и извиняется, что он не понял, как эту картинку открыть.

Цитата:

Берём любой файл картинки и вписываем MZP. Дальше идёт аннотация и Goto на начало исполняемого файла.

Не понял, что значит аннотация и какой такой Goto? Мне кажется, что Винда для загрузки и запуска программ всё таки использует не только первые три байта. Вообще тут программисты для загрузчика целый PE формат придумали.

DOS MZ-заголовок
DOS stub
Заголовок PE
Таблица секций
Секция 1
Секция 2
Секция ...
Секция n

А оказывается это всё лишнее, надо просто первые три байта в MZP написать и какой то загадочный goto.

[Altera]

Ну в общем это почему-то возможно. Хотя я не понимаю почему. Проводник должен просто запускать программу ассоциированную с файлом и передавать ей путь этого файла как параметр, почему он пытается его выполнить, непонятно.

[Smitt&Wesson]

М-дас. Погорячился слегка.
Но на запуск файла заголовок всё же влияет.
Надо будет поплотнее с этим поработать.
А тема вообще интересная. Зацепила.
Если чё раскопаю - отпишусь.

[Stilet]

Как мне объясняли, вирь работает по принципу stack overload. В старых вьюверах можно было такое выловить, когда он загружает картинку, а в ней тело вируса дописано таким образом чтоб попав в память поместить указатель на тело виря в стек (при загрузке картинки) именно там где по идее должен быть указатель возврата из процедуры, а кривописанные вьюверы не проверяют что загружают и сколько поэтому получается что данные картинки как бы выполняются.

[JTG]

Stack overflow. Не единственный способ, но самый распространённый. Набросал вот семпл, с виду безобидный код, пусть несколько притянутый за уши, но в качестве примера сгодится Должен работать на XP SP2. Читаем файл в буфер, копируем содержимое буфера в memo.

Код:

procedure TForm1.Button1Click(Sender: TObject);
var buf: array[0..1023] of char;
    f: file of byte;
begin
  if OpenDialog1.Execute then
  begin
    AssignFile(f, opendialog1.FileName);
    Reset(f);
    BlockRead(f, buf, FileSize(f));
    Memo1.Text := buf;
    CloseFile(f);
  end;
end;

Если размер файла не превышает размер буфера - всё ок, вот так выглядит программа на выходе из процедуры button1.click. В стеке - адреса возвратов из вложенных друг в друга процедур, всё прекрасно, все довольны.



Но если он (файл) больше - BlockRead запишет данные за концом локальной переменной buf и затрёт идущие далее данные в стеке. Можно подобрать файл так, что его содержимое заменит адрес возврата из функции на значение, которое будет указывать куда угодно, например на сам буфер. В буфере - подсунутый нами базонезависимый код, он же шеллкод, т.е. не содержащий абсолютных адресов и способный выполнятся в любом месте программы. Таким образом программа с уязвимостью "выполнит" простой текстовый файл. И всё потому, что разработчик не проверил размер входных данных.

[mrChester]

Модераторы обсуждают написание вирусов.
Беспредел, граждане!

[Juffin]

Цитата:

Модераторы обсуждают написание вирусов.

не написание, а принцип работы

[Stilet]

Цитата:

mrChester

Эти вирусы могут и не работать, если криворукие программисты не будут использовать небезопасные функции заливания чего-то в стек.
Так что это скорее не как написать вирус а почему его можно написать.
Между прочим эта ошибка проектирования не только вирусы дает, она достаточно важна. чтоб на нее внимание обратить.

[vanilin89]

На xp sp2 можно сделать проще:
1)Открыть картинку в photoshop
2)Открыть сведения о файле
3)И в строке 'Источник' прописать нужную вам команду(например *run calc.exe)
4)После сохранения на sp2 должно все работать)
http://www.youtube.com/watch?v=gIIgYUfrLOU