请大牛分析下，蒙蔽【全世界杀软】使得 EXE 格式的木马，被认为是 JPEG 格式的原理！

qqszaaa

最近看到一篇文章，作者通过一定的方法使得 一个 EXE 可执行文件，被全世界杀毒都认为是 JPEG 格式的文件！

不是那种简单的利用 XP 漏洞进行后缀名修改，是真正的让 全世界杀毒 认为 该木马文件是 JPEG 格式的文件！



这是作者对于自己的木马的一番描述：“首先说明一下，jpeg文件（其他也一样，但是我没测试过。）是有着自己用启动和运行特征的。只有具备了它独特的特征后，我们的电脑上才能看到它呈现出来的影像。所以，我在编写dat的时候，在启动时加入了jpeg文件的特征（不是用其他软件替换，是在易语言编写中实现的）和启动顺序。然后在调用我们的客户端程序及子程序！让杀毒判定我们的程序是jpeg文件。这就是原理。但必须要掌握jpeg的独特的特征。 然后我们需要在易语言的_启动窗口中编写出来jpeg的特征，仿造它去运行，让杀毒一位我们的程序就是jpeg文件，而不是dat或是exe等等。这也就是解开了为什么在virscan.org 网站的报表中，我的dat文件类型为什么是：“JPEG image data, JFIF standard 1.02 ”了。”

请大牛分析下这种可怕的木马，他到底是怎样实现让 一个 EXE 可执行文件，被全世界杀毒都认为是 JPEG 格式的文件？

看到有的大神说是什么 loader ，菜鸟完全不懂~希望大神不吝赐教，详细分析下该木马的实现原理，谢谢咯~

saky20008

可以看看这个http://soft.zol.com.cn/2004/1110/144368.shtml

qqszaaa

saky20008 发表于 2014-5-26 10:20
可以看看这个http://soft.zol.com.cn/2004/1110/144368.shtml

原理好像还是不一样哦～刚刚看了你给的帖子，里面好像是对漏洞的利用，而这个是绝对是100%的可执行文件，杀毒却都认为是 JPEG 格式的文件哦～

loventer

前排围观行者等待学习

剁椒大白菜

话说上面的链接都是十年前的了。期待大神讲解分析。

qqszaaa

剁椒大白菜 发表于 2014-5-26 10:30
话说上面的链接都是十年前的了。期待大神讲解分析。

能否@出大神出来？小弟刚刚来卡饭，不知道大神都在哪里～

CyLerS

这个还真有点好奇！
坐等学习的机会！

bbszy

可以发到国外大区讨论一下

qqszaaa

bbszy 发表于 2014-5-26 11:24
可以发到国外大区讨论一下

每小时只能发一个帖子啊~刚刚在 病毒样本区发了一个 http://bbs.kafan.cn/thread-1737087-1-1.html，一会再在 国外大区发个~

pangpangshiwo

等待学习