首页
社区
课程
招聘
[原创]熱帶夜, AVの目前犯
发表于: 2023-3-17 11:53 7356

[原创]熱帶夜, AVの目前犯

2023-3-17 11:53
7356

注: AV = Anti Virus

目录

1. 图种的介绍

图种, 老司机都知道, 以前论坛发福利很多人都用这种办法。图种合一, 既能看到预览图, 又能得到种子文件, 方便快捷。
下面是百度百科的简介:

图种即一种采用特殊方式将图片文件与压缩文件结合起来的文件。该文件一般外观上为图片文件,可以正常预览图片;将该图片下载到本地后,可以通过修改文件的后缀名(如将.jpg改为.zip)并使用压缩软件对其解压缩,获取隐藏在图片文件中的压缩文件。

 

这种严格来说算"图包种".

2. 杀毒软件和压缩软件对压缩格式的处理区别

杀毒软件大部分从文件偏移0开始,取标志数据, 以此来判断文件格式,调用相应的处理代码进行文件处理; 压缩软件进行了一定程度的搜索.
那么, 利用压缩文件的打开机制与杀软识别机制之间的差异, 我们就能构造出这样的图压缩文件: 能被用户双击打开,正常进行解压操作,却被杀软识别为其他非压缩包文件格式.

3. 文件构造过程

3.1 普通构造

随便找个病毒virus, 打包成1.rar, 准备图片1.png,之后调用命令制作种图:

1
copy /b 1.png+1.rar 11.rar

3.2 结合cve-2018-20250的构造

winrar的一个目录穿越漏洞, 在这利用poc来构造一个漏洞rar,
按说明随便做一个2.rar, 再调用

1
copy /b 1.png+2.rar 22.rar

生成"图包毒"

4. 杀软测试

4.1 火绒

图片描述
可查出virus, 1.rar; 未查出11.rar,2.rar,22.rar

 

2.rar与22.rar解压后均成功落地文件:
图片描述

4.2 360安全卫士

图片描述
查出了virus, 1.rar, 11.rar
他识别出了种图种的压缩包文件, 那么我再多加几张图试试:

1
copy /b 1.png+1.png+1.png+11.rar+1.png 111.rar

图片描述
还是可以, 看来360卫士的格式识别不容易被糊弄.
2.rar与22.rar解压后均成功落地文件:
图片描述

 

#4.3 360杀毒
图片描述
比较奇怪,似乎识别不了rar文件, 却又能发现2.rar的漏洞问题,
扫描设置已经设置了压缩包查毒:
图片描述
22.rar解压后成功落地文件:
图片描述

4.4 瑞星

图片描述
瑞星似乎没查出virus是病毒, 否则它在这的测试应该算全杀.

4.5 腾讯管家

图片描述
除了22.rar,其他都扫出来了
解压22.rar, 文件成功落地:
图片描述

4.6 卡巴

图片描述
卡巴除了22.rar,其他均检测到了, 另外, 他对1.rar和11.rar的操作不同, 11.rar直接删了, 1.rar实现了清除.
解压22.rar,文件未能成功落地:
图片描述

 

图片描述

 

附件密码infected


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 14517
活跃值: (17538)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
2
感谢分享,我解压出来,下载了五百多集的新闻联播
2023-3-17 15:22
1
游客
登录 | 注册 方可回帖
返回
//