注: AV = Anti Virus
1. 图种的介绍
图种, 老司机都知道, 以前论坛发福利很多人都用这种办法。图种合一, 既能看到预览图, 又能得到种子文件, 方便快捷。
下面是百度百科的简介:
图种即一种采用特殊方式将图片文件与压缩文件结合起来的文件。该文件一般外观上为图片文件,可以正常预览图片;将该图片下载到本地后,可以通过修改文件的后缀名(如将.jpg改为.zip)并使用压缩软件对其解压缩,获取隐藏在图片文件中的压缩文件。
这种严格来说算"图包种".
2. 杀毒软件和压缩软件对压缩格式的处理区别
杀毒软件大部分从文件偏移0开始,取标志数据, 以此来判断文件格式,调用相应的处理代码进行文件处理; 压缩软件进行了一定程度的搜索.
那么, 利用压缩文件的打开机制与杀软识别机制之间的差异, 我们就能构造出这样的图压缩文件: 能被用户双击打开,正常进行解压操作,却被杀软识别为其他非压缩包文件格式.
3. 文件构造过程
3.1 普通构造
随便找个病毒virus, 打包成1.rar, 准备图片1.png,之后调用命令制作种图:
1 | copy / b 1.png + 1.rar 11.rar
|
3.2 结合cve-2018-20250的构造
winrar的一个目录穿越漏洞, 在这利用poc来构造一个漏洞rar,
按说明随便做一个2.rar, 再调用
1 | copy / b 1.png + 2.rar 22.rar
|
生成"图包毒"
4. 杀软测试
4.1 火绒
可查出virus, 1.rar; 未查出11.rar,2.rar,22.rar
2.rar与22.rar解压后均成功落地文件:
4.2 360安全卫士
查出了virus, 1.rar, 11.rar
他识别出了种图种的压缩包文件, 那么我再多加几张图试试:
1 | copy / b 1.png + 1.png + 1.png + 11.rar + 1.png 111.rar
|
还是可以, 看来360卫士的格式识别不容易被糊弄.
2.rar与22.rar解压后均成功落地文件:
#4.3 360杀毒
比较奇怪,似乎识别不了rar文件, 却又能发现2.rar的漏洞问题,
扫描设置已经设置了压缩包查毒:
22.rar解压后成功落地文件:
4.4 瑞星
瑞星似乎没查出virus是病毒, 否则它在这的测试应该算全杀.
4.5 腾讯管家
除了22.rar,其他都扫出来了
解压22.rar, 文件成功落地:
4.6 卡巴
卡巴除了22.rar,其他均检测到了, 另外, 他对1.rar和11.rar的操作不同, 11.rar直接删了, 1.rar实现了清除.
解压22.rar,文件未能成功落地:
附件密码infected
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)