请大牛分析下，蒙蔽【全世界杀软】使得 EXE 格式的木马，被认为是 JPEG 格式的原理！

显示全部楼层 · 发表于 2014-5-26 13:36:02

可能性:1.漏洞攻击 2.自己写了一种文件格式兼容JPEG
至于JPEG加载PE文件的这个难度很大

显示全部楼层 · 发表于 2014-5-26 13:39:49

日渐颓废的我们发表于 2014-5-26 13:32
不是很明白。如果他把这个文件的启动方式完全编写为图片的话，那么这个文件又是怎么做到在需要的时候以可执 ...

他是不是用什么 loader把 PE 启动时弄成了图片的特征，然后再调用其他的实现木马功能的子程序～关键是把真正的 PE 能写成 JPEG 还能正常运行，不知道这是怎么实现的啊～

显示全部楼层 · 发表于 2014-5-26 13:49:33

白玉箫发表于 2014-5-26 13:36
可能性:1.漏洞攻击 2.自己写了一种文件格式兼容JPEG
至于JPEG加载PE文件的这个难度很大

格式绝对是PE 格式，他是怎样把PE文件弄成被杀软认为是 JPEG的？他是不是把PE结构怎么处理了？

显示全部楼层 · 发表于 2014-5-26 15:46:14

连样本都没有你就发帖了？……

显示全部楼层 · 发表于 2014-5-26 16:04:09

本帖最后由 lizw9382 于 2014-5-26 16:24 编辑

欧阳宣发表于 2014-5-26 15:46
连样本都没有你就发帖了？……

。。。。
我仔细的看了看这个帖子。。。
其实本身.dat是数据文件。。
dat可以使数据包，视频，音乐，图片都可以。。。

所以显示为图片文件也很正常。。。。

显示全部楼层 · 发表于 2014-5-26 16:44:27

lizw9382 发表于 2014-5-26 16:04
。。。。
我仔细的看了看这个帖子。。。
其实本身.dat是数据文件。。

不是这样的，.dat 是用来生成木马的母文件，他本来就是.exe，只不过生成的时候写为了 .dat

显示全部楼层 · 发表于 2014-5-26 16:54:53

qqszaaa 发表于 2014-5-26 16:44
不是这样的，.dat 是用来生成木马的母文件，他本来就是.exe，只不过生成的时候写为了 .dat

照你这意思是一个exe文件，把扩展名修改成dat，可是你确定dat文件能运行么？。。。最后识别为了jpg。。。。
真素清者自清。。。

话说你这帖子在哪里看到的。

显示全部楼层 · 发表于 2014-5-26 17:01:44

lizw9382 发表于 2014-5-26 16:54
照你这意思是一个exe文件，把扩展名修改成dat，可是你确定dat文件能运行么？。。。最后识别为了jpg。。。 ...

你玩过远控没？这个 dat 不是木马，是用来生成木马的，生成的木马是exe 但是也能被识别为 JPEG

显示全部楼层 · 发表于 2014-5-26 17:11:39

qqszaaa 发表于 2014-5-26 17:01
你玩过远控没？这个 dat 不是木马，是用来生成木马的，生成的木马是exe 但是也能被识别为 JPEG

所以你的意思是exe生成了dat，这个dat识别为了图片。然后这个dat是用来生成木马的，生成的木马是exe，但是也被识别成了图片。。。

还是上面的话，你这帖子哪里看到的。

显示全部楼层 · 发表于 2014-5-26 22:45:00

。。。把 dat 的 PE 文件头改成 JPEG 的魔术数字然后另外弄个程序 (loader) 把文件头改回来运行不就得了，或者图片末尾捆绑个 PE。

[病毒样本] 请大牛分析下，蒙蔽【全世界杀软】使得 EXE 格式的木马，被认为是 JPEG 格式的原理！