跟我一起学拆弹,实战解决压缩包炸弹——希望能够帮到大家

Hacker29cn

回复 8楼 solstice1988 的帖子

版主来啦，谢谢鼓励啊。

Hacker29cn

回复 10楼 bjwong 的帖子

一般不网购，不会遇到，最近淘宝这种病毒比较泛滥，要小心啊

Hacker29cn

回复 9楼 cxl81514 的帖子

谢谢乃长期关注啊

bjwong

Hacker29cn 发表于 2011-4-6 23:36
回复 10楼 bjwong 的帖子

一般不网购，不会遇到，最近淘宝这种病毒比较泛滥，要小心啊

幸好，平時上網小心，不上網交易

Hacker29cn

回复 14楼 bjwong 的帖子

原来如此，那阁下基本不会遇到。如果想知道什么样，可以到样本区。我也是从那里下载的样本。

bjwong

Hacker29cn 发表于 2011-4-6 23:40
回复 14楼 bjwong 的帖子

原来如此，那阁下基本不会遇到。如果想知道什么样，可以到样本区。我也是从那里下 ...

哈哈，不敢，我單奔小而已。。。
不能試毒。。。。
有空在虛擬機試試

Hacker29cn

回复 16楼 bjwong 的帖子

可以用沙盘和影子系统，我胆大一些，对于不厉害的一般用金山沙箱，厉害的就用CIMA，再不行我就上影子！反正就是跟病毒杠上了，O(∩_∩)O哈哈~

solstice1988

回复 17楼 Hacker29cn 的帖子

时候不早了，早点睡吧。晚睡对皮肤不好的，还容易熊猫眼～作为爱美的MM，要注意保养哦～

Hacker29cn

回复 18楼 solstice1988 的帖子

乃还说我，乃不爱美？不一样在辛勤劳作，管理版区？向辛勤的solstice1988 版主致敬啊！我只是想多学点东西而已啊，哈哈，向版主学习！

留侯

楼主误会了一件事情，就是病毒往往通过压缩炸弹来抵御云安全技术，但是一个文件被被告为压缩炸弹，并不意味着其就是病毒。
压缩炸弹，有些反病毒软件也称之为解压缩炸弹，或者是过度压缩，只不过是反病毒软件对于过度压缩的一种反应而已，通常反病毒软件会跳过这个文件的监控扫描，直接报告。
我以比特梵德的解释来做例证：
过度压缩状态，意味着这个（些）文件被以一种不寻常的方式压缩，BitDefender未能成功释放文件。这并不意味着压缩文档被破坏了。但是，这也不意味着那些文件被感染（病毒）了（如vundo trojan或者其它）。实际上，我从未听说过“过度压缩”和“任何病毒感染”之间有任何关系。当一个文件被报告过度压缩，这意味着它只是不能被扫描，就像带有密码的压缩文件（没有被扫描）的情况。

由于扫描压缩文件，往往会占用很多的资源，多亿一些反病毒软件执行了相应的限制，这个情况和压缩文件嵌套层数有异曲同工之妙。压缩文件嵌套层数，也就是说我们通常所说的脱壳，由于其脱壳需要占用大量的资源，所以一些反病毒软件都有相应的限制，ESET NOD32默认是10层，小红伞默认是24层。超过一定的层数，也会做出相应的报告，直接被认定为过度压缩或者是压缩炸弹、解压缩炸弹而跳过。

正如我在开始的时候所说的，目前一些木马病毒为了抵御云安全技术，较多地使用了过度压缩，但是并不能以此判断这个过度压缩的文件就是病毒，就像一些反病毒软件无法解包未知的打包器，而直接报壳一样。虽然很多病毒使用了过度压缩方式，但是并非所有的过度压缩的文件就是病毒，两者需要区别对待的。