收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 软件区 解疑答难区 文件直接压缩不运行会中毒么?
12下一页
返回列表 发新帖
查看: 4544|回复: 13
收起左侧

[软件] 文件直接压缩不运行会中毒么?

[复制链接]
fengyunljp
发表于 2014-4-21 23:13:45 | 显示全部楼层 |阅读模式
仅仅解压缩,会中毒么?很疑惑
回复

举报

伊川书院
发表于 2014-4-21 23:29:16 | 显示全部楼层
本帖最后由 伊川书院 于 2014-4-21 23:31 编辑

除非你的解压软件有问题。

在正常状态下,被解压的文件是不会被激活的。

想要激活被解压的文件,必须第三方命令,

其中,winrar/winzip本身我确定没有提供自动激活解压文件的命令。

其它的解压软件不熟,,,,
回复

举报

fengyunljp
 楼主| 发表于 2014-4-21 23:33:59 | 显示全部楼层
伊川书院 发表于 2014-4-21 23:29
除非你的解压软件有问题。

在正常状态下,被解压的文件是不会被激活的。

多谢,不确认一下就是不放心
回复

举报

伊川书院
发表于 2014-4-21 23:37:37 | 显示全部楼层
fengyunljp 发表于 2014-4-21 23:33
多谢,不确认一下就是不放心


随着我们国人越来越喜欢把一些简单的功能,加入乱七八X的东西,

真不太清楚,一些所谓功能强大的解压软件本身会不会提供:自动激活被解压的文件。


不过,按常理想,应该不会加入这个变态的功能,这应该是常识。。。。
回复

举报

fengyunljp
 楼主| 发表于 2014-4-21 23:42:07 | 显示全部楼层
伊川书院 发表于 2014-4-21 23:37
随着我们国人越来越喜欢把一些简单的功能,加入乱七八X的东西,

真不太清楚,一些所谓功能强大的解 ...

用的7-ZIP,应该没什么问题
回复

举报

伊川书院
发表于 2014-4-21 23:42:45 | 显示全部楼层
fengyunljp 发表于 2014-4-21 23:42
用的7-ZIP,应该没什么问题

嗯,一般应该是不会自动激活的
回复

举报

翼风Fly
发表于 2014-4-22 01:03:10 | 显示全部楼层
伊川书院 发表于 2014-4-21 23:29
除非你的解压软件有问题。

在正常状态下,被解压的文件是不会被激活的。

不是啊,也是可以触发病毒的。
曾经见过一个lpk.dll,只要刚刚打开资源管理器所在目录立即激活,同时下载各类后门,多进程守护,不仅往所有的文件夹而且还有所有的各类压缩包插入lpk.dll病毒。如果你只是单纯想删掉病毒是删不掉的,没什么经验的人推荐用杀毒软件全盘扫描后重启解决。这个病毒利用的是资源管理器的运行机制,正常情况下只有windows\syste32文件夹有。
还有压缩包炸弹啥的,解压后立即中招,而且很多病毒会利用里面的机制逃避杀软的检测。
不要以为压缩包是安全的,藏污纳垢很深呐。开着杀软,这事最最起码的要求了。
回复

举报

伊川书院
发表于 2014-4-22 01:34:46 | 显示全部楼层
本帖最后由 伊川书院 于 2014-4-22 01:42 编辑
翼风Fly 发表于 2014-4-22 01:03
不是啊,也是可以触发病毒的。
曾经见过一个lpk.dll,只要刚刚打开资源管理器所在目录立即激活,同时下载 ...


dll或sys本身是不可执行文件。
想要执行dll或sys中的恶意动作,必需有一个前驱,这个前驱有可能是系统正常进程或被恶意修改过的进程。

当确认当前系统是正常的时候,在解压过程中,需要实现自动激活被解压的文件,必需需要一下可执行命令的前驱,例如:winrar.exe

但是,我们知道在正常情况下,系统本身和winrar.exe本身并没有提供这样的功能,因此,我们可以认为:在正常情况下,是不能够自动激活被解压的文件(曾经IE浏览器在早期的时候报过这种自己激活下载文件的BUG,不过这是好多年前的事,因此,如果系统提供这样的功能,那么它就属于一个5星级以上严重的BUG)。

关于lpk.dll的问题,他并不是源文件,在lpk.dll激活之前,必需一个其它更高级的恶意启动项,例如:svchost.exe或其它。

只有存在这个更高级的恶意的当前进程,那么才能够实现执行lpk.dll中的恶意动作。



lpk.dll:http://www.jb51.net/softjc/62489.html
      1)病毒运行后会把自己拷贝到系统system32目录下以随机数命名(就是上面的kkwgks.exe),并创建一个名为Nationalgnf的服务。

  2)新的服务启动后,利用特殊手段让病毒映像替换svchost.exe,进程中看到的还是svchost.exe,似乎没有什么异样,但此时病毒已经将自己隐藏在svchost.exe里运行,病毒在这里完成的功能包括:

  a.完成病毒所有的后门任务;

  b.在系统system32目录下生成hraXX.dll(XX是生成的随机名);

  c.在系统临时文件目录下不断释放hrlXX.tmp文件(XX是生成的随机名),这里的hrlXX.tmp文件其实是system32下kkwgks.exe文件的备份,非常危险,作用是恢复system32下被删除的exe病毒文件;

  d.在存在可执行文件的目录下生成假的lpk.dll,属性为隐藏,当同目录下的exe运行时会自动加载,激活病毒(注:GOTO第一条)

评分

参与人数 1经验 +8 收起 理由
woxihuan2011 + 8 感谢解答: )

查看全部评分

回复

举报

mifanu
发表于 2014-4-22 06:26:08 | 显示全部楼层
翼风Fly 发表于 2014-4-22 01:03
不是啊,也是可以触发病毒的。
曾经见过一个lpk.dll,只要刚刚打开资源管理器所在目录立即激活,同时下载 ...

我也见过。那也得打开那个目录才行。光靠解压还不足以触发。
回复

举报

NS02
发表于 2014-4-22 09:40:00 | 显示全部楼层
压缩的时候可以设置解压后运行指定文件所以先扫描再解压吧
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-10 09:11 , Processed in 0.129403 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表