请大牛分析下，蒙蔽【全世界杀软】使得 EXE 格式的木马，被认为是 JPEG 格式的原理！

qqszaaa

最近看到一篇文章，作者通过一定的方法使得 一个 EXE 可执行文件，被全世界杀毒都认为是 JPEG 格式的文件！

不是那种简单的利用 XP 漏洞进行后缀名修改，是真正的让 全世界杀毒 认为 该木马文件是 JPEG 格式的文件！



这是作者对于自己的木马的一番描述：“首先说明一下，jpeg文件（其他也一样，但是我没测试过。）是有着自己用启动和运行特征的。只有具备了它独特的特征后，我们的电脑上才能看到它呈现出来的影像。所以，我在编写dat的时候，在启动时加入了jpeg文件的特征（不是用其他软件替换，是在易语言编写中实现的）和启动顺序。然后在调用我们的客户端程序及子程序！让杀毒判定我们的程序是jpeg文件。这就是原理。但必须要掌握jpeg的独特的特征。 然后我们需要在易语言的_启动窗口中编写出来jpeg的特征，仿造它去运行，让杀毒一位我们的程序就是jpeg文件，而不是dat或是exe等等。这也就是解开了为什么在virscan.org 网站的报表中，我的dat文件类型为什么是：“JPEG image data, JFIF standard 1.02 ”了。”

请大牛分析下这种可怕的木马，他到底是怎样实现让 一个 EXE 可执行文件，被全世界杀毒都认为是 JPEG 格式的文件？

看到有的大神说是什么 loader ，菜鸟完全不懂~希望大神不吝赐教，详细分析下该木马的实现原理，谢谢咯~

阡语陌路

还有这种方法？，万万没想到，

猪头无双

易语言，呵呵，直接都被误杀了还能编辑得成功吗？

markland

易语言居然还在。。。。
现在看得到易语言的地方就是补丁，破解，现在还有木马。。。

mengld

修改文件头  exe加载后解密
解密后的杀毒是能识别的
卡巴区不是已经有回复的吗

tudouy

种子图片不是这样来的么!!

funken

只要会运行就会被查，管你是不是JPG文件格式...

佐仓濑津美

文件头伪装而已

徐庆

易语言无所不杀