txt. Маскировка вирусов *.exe to *.txt Маскировка exe файла
Статья показывает, как можно обхитрить внимательного пользователя, знакомого с азами социальной инженерии, следящего даже за расширениями файлов и ни в коей мере не призывает к использованию данной информации в незаконных целях. Цель - запустить исполняемый файл, выдав его за текстовый документ в zip-архиве, а если запустить вряд ли получится, то не дать распаковать или скрыть файл.
На хабре уже есть статья про возможности изменения порядка чтения Unicode-символов с помощью байта RLO. В ней рассказывается, что, пользуясь стандартным проводником Windows, сложно заметить подмену (спуффинг) имени файла. В ней идет речь об укрытии реального расширения файла. Также есть статья о фичах встроенного в Проводник архиватора.
Мне, как человеку, всегда следящему за расширениями открываемых файлов, стало интересно, а есть ли программы, предупреждающие об этом? В частности, защищены ли архиваторы? И что могут сделать злоумышленники, чтобы обойти защиту.
В качестве подопытного возьмем исполняемый файл с расширением exe, назовем его «Об успtxt.exe ».
После буквы «п» в режиме редактирования имени файла в контекстном меню проводника выберем «Вставить управляющий символ Юникода» и выберем RLO. В результате отображаемое имя файла изменится на «Об успexe.txt».
7-Zip 9.20/15.06
WinRAR 5.3
Встроенный в проводник Windows
Как видно, 7-zip сразу сдался, WinRAR порадовал стрелочкой, а встроенный в проводник архиватор не поддерживает RLO. Теперь думаем, а можно ли как-то и последними двумя архиваторами осуществить спуффинг? Для этого открываем заархивированный файл в HEX-редакторе, одновременно читая спецификацию формата ZIP.
При сжатии файла в zip имя файла дублируется 2 раза.
И вот здесь есть большое поле для творчества.
Во-первых, можно во втором вхождении затереть символы байта RLO. Тогда WinRAR отобразит имя файла «Об успexe.txt» и откроет его как текстовый документ. Однако же если пойти дальше изменить расширение.txt на.jpg, то вплоть до версии WinRAR 4.20 эта псевдокартинка будет запущена как приложение. В WinRAR 5.3b2 данной уязвимости уже нет.
Открыв файл с затертым во втором вхождении RLO во встроенном в проводник Windows архиваторе, можно наблюдать, что имя файла стало почти читаемым - не читаются только русские буквы. Чтобы имя стало читаемым, заменим их кодировку или напишем латинские. Однако, нам не надо, чтобы пользователь открыл программу как текстовый документ.
Чтобы архиватор Проводника перестал видеть файл, достаточно в имени файла указать один из зарезервированных файловой системой NTFS символов (например, <). Однако, это не спасет от просмотра архива WinRAR-ом. Что же делать? Добавить null-байт в начало имени файла!
Тогда случится маленькое чудо: WinRAR 5.3b отобразит файл как папку «Локальный диск», перейдя в которую внутри архиватора, WinRAR автоматически распакует наш файл с RLO символом в имени (имя для распаковки берет из первого вхождения!) в директорию «Temp\ Rar$*» и заботливо покажет в проводнике исполняемый файл как текстовый документ! Заметьте, что после закрытия архиватор заботливо попытается удалить этот файл как любой другой распакованный во временный каталог.
Можно одновременно сделать его таким, чтобы он был читаем архиватором Проводника. Тогда вместо null надо прописать другой непечатаемый символ.
Резюме
- 7-Zip 15.06 отображает имя файла из первого вхождения (с RLO символом). Исполняемый файл представлен как текстовый документ. Даже если у вас включено отображение расширений зарегистрированных типов файлов. Двойной клик в окне архиватора запустит исполняемый файл.
- Внутренний архиватор Windows не видит данного конкретного файла. Другие файлы видит.
- WinRAR 5.3b отображает файл как папку «Локальный диск», перейдя в которую внутри архиватора, WinRAR автоматически распаковывает наш файл с подменным именем (с RLO символом) - имя для распаковки берет из первого вхождения - в директорию «Temp» и заботливо показывает в проводнике исполняемый файл как текстовый документ!
Но не все так печально. 7-Zip, к примеру, вплоть до версии 9.20 отображает имя файла из второго вхождения. Однако, если имя файла во втором вхождении не менять и сделать не Zip-архив, а какой-то редкий, из этих трех архиваторов открываемый только 7-Zip, и положить его в наш Zip-архив (не находите знакомый шаблон - релиз сломанной программы, куда кладется обычно куча архивов с файлами readme.txt?), тогда атака получится и на него. Более того, версия 9.20 также некорректно отображает имя файла, начинающегося с null, и не даст его ни прочитать, ни распаковать.
Также в обзоре не указан архиватор WinZip. Если честно, он мне не понравился размером, внешним видом и рекламой в незарегистрированной версии. Однако же в плане предупреждения пользователя об исполняемых файлов и файлов с неправильными именами он выдержал все проверки.
Файл sample.zip - пример создания такого архива. Внутри - программа с иконкой блокнота, запускающая блокнот. Больше ничего не делает. Прячется от встроенного в проводник архиватора, заставляет автоматически распаковать WinRAR 5.3, отображает расширение.txt в 7-zip версии 15
Еще один пример — Sample 2 для всех версий 7-zip, WinRAR 3.8, проводника Windows. Везде файл с расширением *.txt
Яхочу показать вам один простой и безопасный способ спрятать файлы с помощью простого трюка в Windows - скрыть файл внутри файла JPG.
Вы действительно можете скрыть любой тип файла внутри файла изображения, включая TXT, EXE, MP3, AVI, или любой другой. Мало того, вы можете хранить большое количество файлов внутри одного файла JPG, а не только один. Это может быть очень удобно, когда вы хотите скрыть файлы и не хотите возиться с шифровальщиками и другими способами по сокрытию файлов .
Для того, чтобы выполнить эту задачу, необходимо иметь установленный на вашем компьютере либо WinZip, либо WinRAR.
Вот шаги для создания скрытого тайника:
Создайте папку на вашем жестком диске, например, C: Test и скинуть туда все файлы, которые вы хотите скрыть. В эту же папку скиньте файл изображения, в который мы будем “впихивать” скрываемые файлы.
Теперь выделите все файлы, которые вы хотите скрыть, щелкните правой кнопкой мыши на них, и выбрать вариант добавления файлов в архив. Только выбрайте файлы, которые вы хотите скрыть, а не файл картику. Создаваемый архив назовите как хотите, например - “Hidden.rar”.
Теперь у вас есть папка, в которой лежит файл JPG и сжатый архив:
Теперь вот самое интересное! Нажмите кнопку Пуск и выберите пункт Выполнить. Введите “CMD” без кавычек и нажмите Enter. Теперь вы должны увидеть окно командной строки. Введите “CD “, чтобы попасть в корневой каталог. Затем введите команду “CD Test” , чтобы попасть в папку “Test”, в которой лежат все наши файлы.
Теперь вводите следующую строку (без кавычек): “copy /b DSC06578.JPG + Hidden.rar DSC06578.jpg ” и нажмайте Enter. Если все прошло успешно, то вы должны получить ответ, как показано ниже:
JPG файл был обновлен со сжатым архивом внутри! Посмотрите размер полученной картинки, вы увидите что он увеличился на ту же сумму что и размер архива.
Вы можете получить доступ к скрытым внутри картинки файлам двумя способами.
Во-первых, просто изменить расширение файла на.RAR и открыть файл с помощью WinRAR.
Во-вторых, вы можете просто щелкнуть правой кнопкой мыши на изображение JPG и выберать “Открыть с помощью”, а затем выбрать “WinRAR”.
Вот и все! Это отличный и простой способ просто потому что не многие знают об этой возможно и даже знающий не сможет заподозрить файлы в вашей картинке.
А кому нет,могут закрыть сразу.
Рубрики: | |
Вот еще одна небольшая программа - SteganPEG . Она позволяет выбрать любое изображение формата.jpg/.jpeg и запихать в него некоторый объём различных файлов защитив их паролем. Какой объём может поместиться в конкретное изображение программа вам покажет сама.
Для того чтобы достать скрытые в картинке файлы понадобится эта же программа и пароль. Интерфейс, как вы можете убедиться, предельно понятен:
Добавил eXe-ImagePacker (600 кб) :
Вот еще несколько программ для подобных целей:
Вот еще дополнительная информация
В дешевых старых шпионских фильмах самые секретные документы и уникальные драгоценности непременно располагались в скрытом за картиной потайном сейфе. Не знаю, чем вызвана популярность такого метода маскировки, но нечто подобное вы можете проделать и на своем компьютере. Утилита Free File Camouflage позволяет спрятать любой файл, в том числе текст, программу или другую картинку, внутри любого изображения в формате JPG.
— это крохотная бесплатная утилита, которая позволяет прятать конфиденциальную информацию под видом безобидных изображений. После скачивания и запуска программы нам достаточно лишь указать файл, который мы хотим скрыть, затем картинку, которая будет работать «прикрытием», и место сохранения результата. При желании можно задать пароль, без знания которого файл извлечь будет невозможно.
Для извлечения спрятанных данных достаточно просто переключиться на вкладку De-Camouflage a file , ввести путь к «картинке с секретом» и папку сохранения. Кроме этого, программа умеет интегрироваться с Проводником Windows, добавляя свой пункт в меню «Отправить «.
Благодаря своей бесплатности и простоте использования, вполне может пригодиться в тех случаях, когда у вас есть необходимость обезопасить свои файлы, но нет желания связываться со сложными системами защиты. С помощью этой утилиты можно быстро и надежно спрятать свои данные от любопытных глаз, не вызывая никаких ненужных вопросов.
Ответить
Разумеется, программка бесплатная и не требует инсталляции. Но на архив установлен пароль: htt p://beloe-bratstvo.ru/
Точно также, вы можете закрывать свои файлы паролем, прятать в картинках и выкладывать публично.
Кстати, у програмки есть одна фича: при обработке картинки, ее оригинал не сохраняется. То есть, у вас больше не будет этой картинки без архива - она будет перезаписана. Повторно применить эту картинку для сокрытия другого файла вы уже не сможете.
Поэтому лучше делать так: взять ZIP или RAR-архив, который вы хотите скрыть, скопировать его на рабочий стол, туда же скопировать картинку (подходит только формат JPG), в которой вы хотите спрятать данный архив, и в программе указать пути именно к этим копиям, а не к оригиналам архива и картинки. Так более правильно.
Ответить С цитатой В цитатник