图片重命名为exe仍然可以运行,怎么实现的,有例子-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 图片重命名为exe仍然可以运行,怎么实现的,有例子 0.00雪花

发表于: 2010-10-17 00:17 2421

[旧帖] 图片重命名为exe仍然可以运行,怎么实现的,有例子 0.00雪花

标鸾

活跃值

1

2010-10-17 00:17

2421

今天我一个QQ好友给我发了一张图片,叫我看完后重命名为exe,结果我发现,把那张图片重命名为exe仍然可以正常运行,问一下各位,怎么使一个文件即是图片,又是exe呀,就是说,后缀为gif时可以显示,后缀为exe时也可以运行,不知道各位听没听懂我想表达什么,我又长见识了,看来看雪高手真多,

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

重命名为exe.gif （36.36kb，207次下载）
解压后重命名为exe.rar （33.47kb，27次下载）

收藏・3

免费・0

支持

分享

最新回复 (18)
woshimuye 雪币： 78 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 70 粉丝 0 关注私信	woshimuye 2 楼不懂，坐等高手解答貌似跟那些种子伪装成图片是一个道理 2010-10-17 00:50 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 3 楼这张图似曾相识好像是大Z画的 2010-10-17 00:55 0
caiv 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 106 粉丝 0 关注私信	caiv 4 楼坐等高手、、、 2010-10-17 01:08 0
Shadowbane 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	Shadowbane 5 楼这个…… 网上见过那种可以把其他程序伪装成图片的方法和程序。似乎也可以反着来，好像有个工具可以实现。 2010-10-17 01:58 0
风萧兮雪币： 38 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 117 粉丝 1 关注私信	风萧兮 1 6 楼利用的 com 程序格式---- 因为 com 头 256 个字节没什么限制--正好放 gif 的文件头等重要信息--- 其它部分应该是这样做的：找好某个图片--- 在它的基础上改，自己写个简短的com程序---十六进制编辑就行 PS:我受其启发，自己做了个 .mp3 <--> .exe 的，能播音乐 --改后缀名还可以执行太大了（因为是 MP3）所以没传上来 -- 2010-10-17 02:55 0
coding 雪币： 347 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	coding 1 7 楼种子那个比较简单，前几天刚好一个朋友问我这个，说是一个jpg文件一打开是个图片，但是把jpg改成rar，就能解压出一个bt种子。于是用打开那个jpg文件看了看，果然在后面找到了Rar!的标志。然后调试了一下rar解压文件的代码，发现rar并不是只认文件开头的rar!,找不到的话还会往后找。所以要制作这么个能解压出种子的jpg文件，只需要找个喜欢的图片A.jpg，要隐藏的压缩包B.rar，简单通过dos命令就能拼出来： copy A.jpb /B + B.rar /B C.jpg /B 这个C.jpg就是包含rar的文件，改扩展名为rar就能解压了。这个gif我再看一看。 2010-10-17 08:34 0
panghuicpp 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	panghuicpp 8 楼学习了哦…… 2010-10-17 08:39 0
coding 雪币： 347 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	coding 1 9 楼 GIF格式的前面部分大概看了一下前6个字节：GIF89a 其中前3字节固定，后三字节是版本号，87a,89a等接下来是逻辑屏幕描述块，7个字节 typedef struct gifscrdesc { WORD wWidth; WORD wDepth; struct globalflag { BYTE PalBits : 3; BYTE SortFlag : 1; BYTE ColorRes : 3; BYTE GlobalPal : 1; } GlobalFlag; BYTE byBackground; BYTE byAspect; } GIFSCRDESC; 其中byAspect是高宽像素比，这个值好像不太重要。我修改了几次值，都看不出对图片显示的影响。接下来是10字节的图像描述块 typedef struct gifimage 　　{ 　　 WORD wLeft; 　　 WORD wTop; 　　 WORD wWidth; 　　 WORD wDepth; 　　 struct localflag 　　 { 　　 BYTE PalBits : 3; 　　 BYTE Reserved : 2; 　　 BYTE SortFlag : 1; 　　 BYTE Interlace : 1; 　　 BYTE LocalPal : 1; 　　 } LocalFlag; 　　 } GIFIMAGE; 其中，wLeft用来指定图像相对逻辑屏幕左上角的X坐标，以象素为单位所以，lz这幅图片正是利用了第13，14，15个字节构造了一个jmp语句，跳到了文件偏移的0x8000处，此处开始是一个真正的com格式的执行文件。所以把这个文件的前面32k数据去掉，就得到了一个完整的com格式程序。但是需要做一些小调整，比如第0x4b个字节开始的05 07 08，这里在修正段数据，因为前面8k数据丢了，所以这里要修正成05 07 00 2010-10-17 09:28 0
hzjt 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	hzjt 10 楼就是Z大的作品，UPK上有原版的。 2010-10-17 19:28 0
咪···WC 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 354 粉丝 0 关注私信	咪···WC 11 楼学习了………… 2010-10-17 20:08 0
pucci 雪币： 193 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	pucci 12 楼有一个工具可以把exe文件隐藏在图片中。。。 2010-10-18 09:30 0
暹罗猫雪币： 775 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	暹罗猫 13 楼回楼上...很多木马都是这么做地....... 2010-10-18 09:43 0
咪···WC 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 354 粉丝 0 关注私信	咪···WC 14 楼看看我有多少KX了！ 2010-10-18 11:45 0
何厚铧雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 177 粉丝 0 关注私信	何厚铧 15 楼我可不会，希望你能回答。 2010-10-18 12:23 0
chenchaoyi 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	chenchaoyi 16 楼貌似有软件能实现. 2010-10-18 13:16 0
白冰XY 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 0 关注私信	白冰XY 17 楼很想看看,但是下载需要钱,真希望赶紧成为正式会员 2010-10-19 10:51 0
白雪皑皑雪币： 1173 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 1 关注私信	白雪皑皑 18 楼我也来好好看一下了啊 2010-10-19 11:28 0
菜鸟X 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	菜鸟X 19 楼啥时候转正。。。。 2010-10-19 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

标鸾

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//