Атака на архиваторы. Скрываемся в одном архиве от трех программ / Хабрахабр. Статья показывает, как можно обхитрить внимательного пользователя, знакомого с азами социальной инженерии, следящего даже за расширениями файлов и ни в коей мере не призывает к использованию данной информации в незаконных целях. Цель – запустить исполняемый файл, выдав его за текстовый документ в zip- архиве, а если запустить вряд ли получится, то не дать распаковать или скрыть файл. На хабре уже есть статья про возможности изменения порядка чтения Unicode- символов с помощью байта RLO. В ней рассказывается, что, пользуясь стандартным проводником Windows, сложно заметить подмену (спуффинг) имени файла. В ней идет речь об укрытии реального расширения файла. Также есть статья о фичах встроенного в Проводник архиватора. Мне, как человеку, всегда следящему за расширениями открываемых файлов, стало интересно, а есть ли программы, предупреждающие об этом? В частности, защищены ли архиваторы? И что могут сделать злоумышленники, чтобы обойти защиту. 7-zip ругается "неподдерживаемый метод сжатия", рар примерно так же. Блог упорно сопротивлялся размещению больших файлов и . Long....63 10.4.16 415 Неподдерживаемый медиа тип. HTTP предоставляет открытый набор методов, которые. 7-Zip пишет: "Неподдерживаемый метод сжатия для файла." P.S.: WinZip. Обновил 7-zip до последней версии. Всё распаковалось. В качестве подопытного возьмем исполняемый файл с расширением exe, назовем его «Об успtxt. После буквы «п» в режиме редактирования имени файла в контекстном меню проводника выберем «Вставить управляющий символ Юникода» и выберем RLO. В результате отображаемое имя файла изменится на «Об успexe. Далее заархивируем его. Я использовал самый популярный способ сжатия – Zip. И начнем открывать в разных архиваторах. ![]() Zip 9. 2. 0/1. 5. Win. RAR 5. 3. Встроенный в проводник Windows. Как видно, 7- zip сразу сдался, Win. RAR порадовал стрелочкой, а встроенный в проводник архиватор не поддерживает RLO. Теперь думаем, а можно ли как- то и последними двумя архиваторами осуществить спуффинг? Для этого открываем заархивированный файл в HEX- редакторе, одновременно читая спецификацию формата ZIP. При сжатии файла в zip имя файла дублируется 2 раза. Первое вхождение. Второе вхождение. И вот здесь есть большое поле для творчества. Во- первых, можно во втором вхождении затереть символы байта RLO. Тогда Win. RAR отобразит имя файла «Об успexe. Однако же если пойти дальше изменить расширение . Win. RAR 4. 2. 0 эта псевдокартинка будет запущена как приложение. В Win. RAR 5. 3b. Открыв файл с затертым во втором вхождении RLO во встроенном в проводник Windows архиваторе, можно наблюдать, что имя файла стало почти читаемым – не читаются только русские буквы. Чтобы имя стало читаемым, заменим их кодировку или напишем латинские. Однако, нам не надо, чтобы пользователь открыл программу как текстовый документ. Чтобы архиватор Проводника перестал видеть файл, достаточно в имени файла указать один из зарезервированных файловой системой NTFS символов (например, < ). Однако, это не спасет от просмотра архива Win. RAR- ом. Что же делать? Добавить null- байт в начало имени файла! Тогда случится маленькое чудо: Win. RAR 5. 3b отобразит файл как папку «Локальный диск», перейдя в которую внутри архиватора, Win. RAR автоматически распакует наш файл с RLO символом в имени (имя для распаковки берет из первого вхождения!) в директорию «Temp\ Rar$*» и заботливо покажет в проводнике исполняемый файл как текстовый документ! Заметьте, что после закрытия архиватор заботливо попытается удалить этот файл как любой другой распакованный во временный каталог. Можно одновременно сделать его таким, чтобы он был читаем архиватором Проводника. Тогда вместо null надо прописать другой непечатаемый символ. Резюме. 7- Zip 1. RLO символом). Исполняемый файл представлен как текстовый документ. Даже если у вас включено отображение расширений зарегистрированных типов файлов. Двойной клик в окне архиватора запустит исполняемый файл. Внутренний архиватор Windows не видит данного конкретного файла. Другие файлы видит. Win. RAR 5. 3b отображает файл как папку «Локальный диск», перейдя в которую внутри архиватора, Win. RAR автоматически распаковывает наш файл с подменным именем (с RLO символом) – имя для распаковки берет из первого вхождения – в директорию «Temp» и заботливо показывает в проводнике исполняемый файл как текстовый документ! Zip, к примеру, вплоть до версии 9. Однако, если имя файла во втором вхождении не менять и сделать не Zip- архив, а какой- то редкий, из этих трех архиваторов открываемый только 7- Zip, и положить его в наш Zip- архив (не находите знакомый шаблон – релиз сломанной программы, куда кладется обычно куча архивов с файлами readme. Более того, версия 9. Также в обзоре не указан архиватор Win. Zip. Если честно, он мне не понравился размером, внешним видом и рекламой в незарегистрированной версии. Однако же в плане предупреждения пользователя об исполняемых файлов и файлов с неправильными именами он выдержал все проверки. Файл sample. zip – пример создания такого архива. Внутри – программа с иконкой блокнота, запускающая блокнот. Больше ничего не делает. Прячется от встроенного в проводник архиватора, заставляет автоматически распаковать Win. RAR 5. 3, отображает расширение . Еще один пример — Sample 2 для всех версий 7- zip, Win. RAR 3. 8, проводника Windows. Везде файл с расширением *. Сжатие 7- Zip - Power. Archiver Help. и сравнение форматов сжатия в Power. Archiver. 7- Zip - новый формат сжатия, представленный в Power. Archiver. Этот формат имеет открытый исходный код, открытую архитектуру и высокий коэффициент сжатия. Он является одним из самых современных форматов; поддерживает UNICODE имена файлов (так что у международных пользователей не будут проблем со специальными символами), максимальные размеры файлов до 1. Гбайт и сильное кодирование (AES 2. Однако, наибольшее преимущество 7- Zip - то, что он является открытым форматом, не подчинен никакой организации или человеку, но является проектом LGPL, которому каждый может содействовать. Любой может найти и использовать DLL последней версии и добавить ее свое приложение. При использовании этого формата невозможно столкнуться с ситуацией, как в ZIP, где мы имеем несколько различных версий файлов ZIP, каждый из которых не возможно открыть одним и тем же способом, или с RAR, который все еще не поддерживается некоторыми утилитами сжатия из- за его различных форматов. Из- за его свойств, каждый может использовать 7- Zip в своем приложениях с довольно либеральным лицензированием LGPL. Zip главным образом использует LZMA метод сжатия, используемый и в других форматах, но с более сильными параметрами сжатия и размерами словаря, которые приводят к лучшему (хотя и более медленному) сжатию. Zip также использует сильное сжатие, которое позволяет получить отличную степень сжатия (как в CAB и RAR). Мы проверили все форматы поддерживаемые Power. Archiver и так же некоторые другие самые популярные форматы (RAR и ACE), чтобы показать качество сжатия 7- Zip. Мы использовали инсталлятор программы, потому что на ее примере очень просто показать различия в степенях сжатия, хотя при сжатии любого другого приложения вы получите похожие результаты. Как вы видите 7- Zip позволяет Вам сэкономить на 1. RAR при его максимальных настройках сжатия. Кроме того, не только в данном тесте, но и в ряде других испытаний 7- Zip Нормальный обеспечивает лучшую скорость сжатия, чем Win. Zip. Все эти функции планируется добавить в следующих версиях 7- Zip. Однако, если вы используете в 7- Zip настройку сжатия Maximum, использование памяти снизится до 8. МБ (1. 0 МБ для извлечения), и если вы используете установку Normal, 7- Zip будет использовать 2. МБ вашей памяти и нуждаться только в 4 МБ для извлечения. Мы планируем добавить эти и другие новые возможности 7- Zip, которые станут доступными в следующих версиях Power. Archiver. Подробную информацию о формате 7- Zip можно найти здесь.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
November 2017
Categories |