谢娜采访刘烨视频:跟我一起学拆弹,实战解决压缩包炸弹

来源:百度文库 编辑:九乡新闻网 时间:2024/04/29 17:54:01

跟我一起学拆弹,实战解决压缩包炸弹——希望能够帮到大家   [复制链接]

Hacker29cn
  • 发短消息
  • 加为好友
Hacker29cn 当前在线
UID
433601 
在线时间
309小时 
帖子
2003 
积分
2434 
技术
0  
魅力
2  
人气
42  
活力
2267  
经验
2354  
阅读权限
30 
最后登录
2011-4-17 
主题
86 
操作系统
windowsXP SP3+Ubuntu+windows 7 
防御装备
经验和判断 
精华
杀毒软件
金山毒霸 
防火墙
金山网镖 
HIPS
沙盘 
虚拟机
影子 

卡饭_见习写手

第29号Hacker 论坛策划组_实习

卡饭_见习写手, 积分 2434, 距离下一级还需 566 积分
昵称
早起的太阳花 
帖子
2003 
积分
2434 
技术
0  
魅力
2  
人气
42  
活力
2267  
注册时间
2009-3-15 
防御装备
经验和判断 
1 发表于 2011-4-6 23:09 |只看该作者 |倒序浏览 |打印 《卡饭月刊》第25期发布(2011.04)--崭新的起点,崭新的开始! .pcb{margin-right:0} 一、何谓压缩包炸弹
其实这是avast最早发明的一个词汇,详见百度
http://baike.baidu.com/view/1833963.htm

解压炸弹
  一般来说用AVAST扫描会出现这个名词。

  解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件,avast! 默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件,或者杀毒软件的解压缩功能)所以 avast! 跳过了这些文件。  
      解压炸弹也是指带有恶意参数的解压包。比如带有格式化参数的,双击压缩包后,所在的硬盘分区就被完全格式化了(总之带有是一定破坏性的)。解压时,不要双击打开,要用右键选择,特别要注意自解压格式的压缩包。

二、可恶的解压炸弹到底厉害在哪?
1、首先,我们要明白压缩或者说解压的原理。明白了这些,对付压缩炸弹就不会束手无策了


其实压缩或者解压的道理很简单,我打个形象地比喻(便于理解,不是原理)
虽然一个文件很大,但是所有的文件本质都是由“0”和“1”组成的,我们把0和1排列在一起,然后由电脑读出来,就是一篇文档(声音,图画,视频,文字),平常这些0和1全是按顺序排列,所以很大。终于有一天,人们发现,如果把一个文档拆开来,只记住0和1,以及它们的个数及排列位置,那么这个记录这些信息的文件就会很小,例如我们把1000个1只记录为一个1和个数为1000个就行了(简单记录),这样多方便,不用每一个1都写一遍了。(我们把这个过程叫做压缩,压缩有很多种方法如zip方法和RAR方法,我们把不同的简记方式叫做不同的的文件格式)
      解压就相对简单了,我们只要把相同个数和原文件对应位置填上0和1(就像盖章一样轻松),那么就相当于还原了压缩的过程,这个过程我们形象的称之为“解压”



2、小结一下


原文件————(简单记录,就要压缩)————>压缩文件(如RAR)———(再像盖章一样把它们完璧归赵,就是解压)———>又得到了原文件

,简单吧




3、压缩炸弹的厉害之处


压缩炸弹有什么厉害?

a.能躲避云查杀和普通杀软;老子压缩一亿个1,压成rar文件小的可怜,就是查杀也不能说我是病毒吧,我就是一个简单的数字(文字)和word文档没区别,你能奈我何?敢上传到云服务器,老子也不怕,反正都是简单的内容重复,解压就累死你,不解压你也判不了我的罪(怎么样?没辙了吧)

b.老子就是耗你的资源;我把很多内容重复的图片文档压缩(数量大的惊人,十亿甚至百亿数据),由于都是重复的内容RAR一压缩很小,哈哈,你上当解压吧,你的内存和CPU能多大,瞬间资源被耗尽,死机了

c.老子我还会带脚本,就算我不耗你资源,一样可以至你于死地!带个格式化的脚本,让它在解压时运行,当你解压完,硬盘也被格式化了,你哭去吧,哈哈

以上内容模拟病毒的口吻,请勿对号入座!


三、跟我一起学拆弹,撕下病毒的伪善面具(不管是MM图也好,帅哥图也罢,神马实物图,打折包,优惠……)


1、其实它们特征明显


由于利用了重复内容压缩,文件很小,解压很大的情况,那么winRAR可以告诉你它是不是坏人


这是一篇普通文档



压缩后就会很小约21KB,本身有50多KB


我们点击RAR文件的属性,然后点击压缩文件选项卡

你看到了什么?对压缩率
该文档压缩率为39%



这是一篇正常的文档


2、下面就是模拟的病毒了(请注意是原理模拟,本身无毒





我们再按上面的操作,你看到了什么?压缩率太小了,压到这么小?0%?

原来80多KB的文件压缩到66字节?哇靠,这么厉害?

其实你打开原文件就知道,那只不过是大约800万(我就不数了,很大就是了)个数字1而已,由于大量重复,所以才能压的这么小





从这里可以看出所谓压缩炸弹,其压缩率必然出奇的小,甚至达到0%(其实不是0%,因为很小,显示为0)


这是某病毒样本的压缩率,看出异常来了吗?相信您很聪明滴






3、如何对付它们,这些坏蛋!


A、其实只要有防范意识,只要记住对于陌生的压缩文件,多看看属性(必须装有winRAR)压缩文件选项卡就不会中招了!

B、动用杀毒

这是ESET杀毒的结果(主要是因为其带了恶意脚本,而且扫描如果解压的话很容易死机)



对于不带有恶意脚本的炸弹其拆弹方法就在“属性---压缩文件选项卡下
跟我一起学拆弹,实战解决压缩包炸弹 跟我一起写 Makefile 跟我一起写 Makefile 跟我学游泳(包会) 跟我一起做眼保健操 天使情侣(跟我一起吧 跟我一起这样做!让小三都退避三舍 跟我一起写 Makefile(九) 先跟我一起闹明白测光 来跟我一起学PPT吧 来跟我一起学PPT吧 解压“加密”压缩包技巧 AA来跟我一起学PPT吧 跟我一起看看苏州太湖岛上的农家乐 [精华] 跟我一起写 Makefile - ChinaUnix.net 眼科:保护视力 跟我一起做眼保健操! - 穿越时空,跟我一起逛紫禁城(1) 跟我一起来看欧洲的那些车111 跟我一起来看欧洲的那些车1111111 跟我一起来看欧洲的那些车2222 田英章间架结构28法(跟我一起学田楷) [眼科]保护视力 跟我一起做眼保健操! - 跟我一起在春天制定饮食排毒计划吧 田英章间架结构28法(跟我一起学田楷)