跟我一起学拆弹,实战解决压缩包炸弹——希望能够帮到大家

Hacker29cn

一、何谓压缩包炸弹
其实这是avast最早发明的一个词汇，详见百度
http://baike.baidu.com/view/1833963.htm

解压炸弹
　　一般来说用AVAST扫描会出现这个名词。

　　解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件，avast! 默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”，实时监控中是100MB，邮件监控是30MB。这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃（可能用来攻击压缩软件，或者杀毒软件的解压缩功能）所以 avast! 跳过了这些文件。　　
      解压炸弹也是指带有恶意参数的解压包。比如带有格式化参数的，双击压缩包后，所在的硬盘分区就被完全格式化了（总之带有是一定破坏性的）。解压时，不要双击打开，要用右键选择，特别要注意自解压格式的压缩包。

二、可恶的解压炸弹到底厉害在哪？
1、首先，我们要明白压缩或者说解压的原理。明白了这些，对付压缩炸弹就不会束手无策了


其实压缩或者解压的道理很简单，我打个形象地比喻（便于理解，不是原理）
虽然一个文件很大，但是所有的文件本质都是由“0”和“1”组成的，我们把0和1排列在一起，然后由电脑读出来，就是一篇文档（声音，图画，视频，文字），平常这些0和1全是按顺序排列，所以很大。终于有一天，人们发现，如果把一个文档拆开来，只记住0和1，以及它们的个数及排列位置，那么这个记录这些信息的文件就会很小，例如我们把1000个1只记录为一个1和个数为1000个就行了（简单记录），这样多方便，不用每一个1都写一遍了。（我们把这个过程叫做压缩，压缩有很多种方法如zip方法和RAR方法，我们把不同的简记方式叫做不同的的文件格式）
      解压就相对简单了，我们只要把相同个数和原文件对应位置填上0和1（就像盖章一样轻松），那么就相当于还原了压缩的过程，这个过程我们形象的称之为“解压”



2、小结一下


原文件————（简单记录，就要压缩）————>压缩文件（如RAR）———（再像盖章一样把它们完璧归赵，就是解压）———>又得到了原文件

，简单吧




3、压缩炸弹的厉害之处


压缩炸弹有什么厉害？

a.能躲避云查杀和普通杀软；老子压缩一亿个1，压成rar文件小的可怜，就是查杀也不能说我是病毒吧，我就是一个简单的数字（文字）和word文档没区别，你能奈我何？敢上传到云服务器，老子也不怕，反正都是简单的内容重复，解压就累死你，不解压你也判不了我的罪（怎么样？没辙了吧）

b.老子就是耗你的资源；我把很多内容重复的图片文档压缩（数量大的惊人，十亿甚至百亿数据），由于都是重复的内容RAR一压缩很小，哈哈，你上当解压吧，你的内存和CPU能多大，瞬间资源被耗尽，死机了

c.老子我还会带脚本，就算我不耗你资源，一样可以至你于死地！带个格式化的脚本，让它在解压时运行，当你解压完，硬盘也被格式化了，你哭去吧，哈哈[:27:]

以上内容模拟病毒的口吻，请勿对号入座！


三、跟我一起学拆弹，撕下病毒的伪善面具（不管是MM图也好，帅哥图也罢，神马实物图，打折包，优惠……）


1、其实它们特征明显


由于利用了重复内容压缩，文件很小，解压很大的情况，那么winRAR可以告诉你它是不是坏人


这是一篇普通文档



压缩后就会很小约21KB，本身有50多KB


我们点击RAR文件的属性，然后点击压缩文件选项卡

你看到了什么？对压缩率
该文档压缩率为39%



这是一篇正常的文档


2、下面就是模拟的病毒了（请注意是原理模拟，本身无毒）





我们再按上面的操作，你看到了什么？压缩率太小了，压到这么小？0%？

原来80多KB的文件压缩到66字节？哇靠，这么厉害？

其实你打开原文件就知道，那只不过是大约800万（我就不数了，很大就是了）个数字1而已，由于大量重复，所以才能压的这么小





从这里可以看出所谓压缩炸弹，其压缩率必然出奇的小，甚至达到0%（其实不是0%，因为很小，显示为0）


这是某病毒样本的压缩率，看出异常来了吗？相信您很聪明滴






3、如何对付它们，这些坏蛋！


A、其实只要有防范意识，只要记住对于陌生的压缩文件，多看看属性（必须装有winRAR）压缩文件选项卡就不会中招了！

B、动用杀毒

这是ESET杀毒的结果（主要是因为其带了恶意脚本，而且扫描如果解压的话很容易死机）



对于不带有恶意脚本的炸弹其拆弹方法就在“属性---压缩文件选项卡下”


但愿能帮到大家，不足之处还请批评指正！

hello8888

還真沒怎麼遇到過這樣的病毒。。。

Hacker29cn

可以到样本区看看，很多滴

sanhu35

学习了  谢谢分享

Hacker29cn

回复 4楼 sanhu35 的帖子

谢谢关注啊

用户名不存在

有帮助，感谢分享

Hacker29cn

回复 6楼 用户名不存在 的帖子

也谢谢您的关注！

solstice1988

回复 7楼 Hacker29cn 的帖子

人气没恢复，明天补上

cxl81514

回帖留名以后再看

bjwong

學習了
從來未聽過