
首页	各地	学习	故事	游戏	歌曲	问答	理财	视频	商城

父母们的精神乐园

首页-->家教-->深层防毒指南：被谩骂的画——图片病毒技术黑幕

深层防毒指南：被谩骂的画——图片病...

【育儿社区】　　【我要推荐】　　【打印】

　　一、被诅咒的油画儿146940博

　　在收集上传播着一幅诡异的油画，据说很多人看后会发生幻觉，有人诠释为油画的构图色彩导致的视觉刺激，也有人认为是心理感化，众说纷繁，却没有令人信服的谜底。在收集公司上班的秘书小王也从一个网友那边得知了这幅画，她立即火烧眉毛的点击了网友给的图片毗连。

　　图片出来了，小王终于见识到了传说中诡异的油画，面临着屏幕上那两个看似正常的孩子，她却感觉背后凉飕飕的。那网友也很热心的和她聊这幅画的来历，小王入神的听着，涓滴没有注意到IE浏览器左下角的状况栏打开页面的进度条一向没截止过。p6

　　若是说小王适才只是背后发冷的话，那么此刻她已经是全身发冷了：电脑光驱主动弹了出来，刚按归去又弹了出来，她焦急的就教阿谁网友，何处很安静的说：“哦，也许是光驱坏了吧，我有事先下了，你找人修一下。”然后头像暗了。

　　小王已经无法答复他的话了：鼠标正在不听使唤的乱跑，键盘也没了反映，过了一会儿，电脑本身重启了，并且永远逗留在了“NTLDR is missing...”的犯错信息上。

　　显而易见，这又是一个典型的木马粉碎事务，可是小王打开的是图片，莫非图片也会传播病毒了？谜底很简单也很出人意表：小王打开的底子不是图片。p12

　　IE浏览器的功能很壮大，它可以主动识别并打开特定格局的文件而不用在乎它是什么文件后缀名，因为IE对文件内容的判定并不是基于后缀名的，而是基于文件头部和MIME。当用户打开一个文件时，IE读取该文件的头部信息并在本机注册表数据库内查找它对应的MIME格局描述，例如打开一个MIDI文件，IE先读取文件前面一段数据，按照MIDI文件的尺度界说，它必需包含以“RIFF”开首的描述信息，按照这段标识表记标帜，IE在注册表定位找到了“x-audio/midi”的MIME格局，然后IE确认它本身不具备打开这段数据的能力，所以它按照注册内外的文件后缀名信息找到某个已经注册为打开后缀名为“.MID”的文件，然后提交给此法式执行，我们就看到了最终成果。

p15

　　恰是因为这个道理，所以IE很轻易受伤。入侵者经由过程伪造一个MIME标识表记标帜描述信息而使网页得以藏虫，在这里也是不异的道理，小王打开的现实上是一个后缀名改为图片格局的HTML页面，它包含上述两个缝隙的病毒文件和一个高度和宽度都配置为100%的图片IMG标识表记标帜，所以在小王看来，这只是一个图片文件，然而，图片的背后倒是恶毒的木马。木马法式体积都比力大，下载需要一按时候，这就是IE进度条一向没截止的原因。入侵者为了确保受害者打开页面的时候可以使整个木马文件下载完毕，就采用了社会工程学，让受害者不会在很短的时候内封闭页面，当木马下载执行后，“图片”的诅咒就应验了。

　　二、位图特征的悲哀p18

　　他是一家公司的收集办理员，在办事器维护和平安配置方面有足够多的经验，是以他无需恐惧那些操纵浏览器缝隙实现的病毒。此日他在一个技术论坛里看到一个网友发的关于AMD某些型号的处置器存在运算瑕庇的帖子，并给出一个测试页面毗连，按照官方描述，若是你用的CPU存在瑕庇，那么你会看到页面上的测试图片显示得破损错乱。贰心里一惊：本身用的CPU恰是这个型号。他立即点击了页面毗连。

p21

　　看着页面上参差不齐的一幅图片，贰心里凉了一截：这台机械的CPU居然有问题，而他还要用这台机械处置公司的主要数据的！他立即去办理部找负责人协商，把显示着一幅胡里花哨图片的机械晾在一边。

　　办理部承诺尽快给他改换一台机械，让他把硬盘转移曩昔，因为上面有主要的营业资料。他回来时看到那幅图片还在耀武扬威，他厌恶的封闭了页面，按例打开存放资料的文件夹，他的脑壳一会儿空白了：资料不见了！谁删除了？他慌乱的查找硬盘每个角落，可那些文件却像蒸发了一样。许久，他终于反映过来了：机械被入侵了！他取下硬盘直奔数据恢复公司而去。p24

　　过后他细心阐发了原因，因为机械已经经由过程了严酷的平安测试并且打了所有补丁，经由过程网页缝隙和溢出进犯是不成能的了，独一值得思疑的只有阿谁所谓的瑕庇测试网页了，他敏捷下载阐发了整个页面代码，看着页面源代码里后缀名为“.BMP”的IMG标识表记标帜和一堆复杂的剧本代码，他知道本身是栽在了BMP木马的手上。

p27

　　那幅“测试瑕庇”的图片，无论到什么机械上都是一样有“瑕庇”，因为它底子不是图片文件，而是一个以BMP格局文件头部起头的木马法式。

　　为什么看似和顺的图片文件也酿成了害人的凶器？这要从位图（Bitmap）格局说起，很多伴侣应该都知道传播了好久的被称为“图片藏字”的“密文”传播方式，即在位图文件尾部追加必然量的数据而不会对原位图文件造成太大粉碎，这是位图格局的限制宽松而造成的。系统判定一个位图文件的方式并不是严酷盘查，而是仅仅从文件头部的54字节里读取它的长宽、位数、文件大小、数据区长度就完成了图片的识别，宽松的盘查机制使得BMP木马得以降生。p30

　　不过先要澄清一点概念，BMP木马并不是在BMP位图文件屁股后追加的EXE文件，而是一个自力的EXE可执行文件，可是它的文件PE头部已经用位图文件头部替代了，因为系统的盘查机制，这个EXE文件就被浏览器认成位图文件了。既然是位图，在浏览器的法式逻辑里，这是需要下载到Internet高速缓存文件夹然后显示在页面上的文件，可是因为这个文件原本就不是位图，它被强制显示出来今后天然会酿成一堆无意义的垃圾数据，在用户眼里，它就成了一幅参差不齐的图像。但这不是引起木马危机的原因，要寄望的是这些文字：“需要下载到Internet高速缓存文件夹”！这申明浏览器已经请狼入室了——木马已经在硬盘上安家了，可是今朝它还在沉睡中，因为它的文件头部被改为位图格局，导致它自身已经不能运行，既然不能运行，理所当然就不能对系统组成风险，那么这只狼在硬盘呆多久也是废料一个，入侵者当然不能任由它华侈，是以他们在做个页面给浏览器下载木马的同时，也会配置页面代码让浏览器帮手脱去这只狼的外套——把位图格局头部换成可执行文件的PE头部，然后运行它。颠末这些步调，一只恶狼进驻了系统。

p33

　　这个无法修补的缝隙十分恐怖，用户很难知道他们正在浏览的页面是否正在偷偷下载着木马数据，因为即使他们打好了所有补丁也无济于事，木马是被IE“正当”下载的，不属于代码缝隙，并且单靠法式本身也很难判定这个图像是不是木马法式，机械靠二进制完成处置工作，而不是视网膜成象交给大脑判定。可是，因为这也是需要下载文件的入侵方式，它可否下载完毕以及用户愿不肯意去看页面就要取决于入侵者的社会工程学了，在任何一个页面里放出一个参差不齐的图片或者来一个埋没的图片框都不是最明智的选择，除非操纵一些“暇庇声明”或更能引起人的乐趣的卑鄙手段。那家公司的网管之所以会这么不设防，就是因为进犯者偷用了人们的“心理盲区”，因为人们对平安、缝隙、病毒、暇庇等内容会出格敏感，所以入侵者发个专业暇庇案例就棍骗了一大堆人，此次是拿真实的事务：AMD某些型号CPU会导致图像显示出问题的暇庇来做鱼饵，下一次又该拿什么了呢？

　　三、魔鬼的诅咒p36

　　对于某娱乐论坛的大部门用户来说，今天是个黑色的日子，因为他们在看过一个《被诅咒的眼睛》油画帖子后，系统遭到了不明原因的粉碎。

p39

　　论坛办理层的技术人员当即对这个帖子进行了多次阐发，可是整个页面就只有一个JPEG图片的毗连，其他恶意代码和法式底子不存在。入侵者靠什么粉碎了看帖用户的机械？莫非竟是这个JPEG图片？

　　谜底生怕让人难以接管，简直就是这幅JPEG图片让用户传染了病毒。尽管病毒研究一向不曾截止，可是成长到这个境界，其实让人不能承受：再下去是不是打开一个文本文件城市被流行症毒？p42

　　图片带毒来袭，其实让所有人都擦了一把汗，然而我们都知道，JPEG、GIF等格局图片不具备可以执行自身并散播病毒的前提，这不合适逻辑。回忆一下2004年9月14日的事，微软发布了MS04-028平安通知布告：JPEG处置(GDI+)中的缓冲区溢出可能使代码得以执行。没错，就是这个缝隙，它的术语叫GDI+，对应的动态链接库为GdiPlus.dll，这是一种图形设备接口，可以或许为应用法式和法式员供给二维前言图形、映像和版式，大部门Windows法式都挪用这个DLL完成JPEG格局图片的处置工作。可是此刻，恰是这个“公家人物”成了众矢之的。

p45

　　说到这里，有根本的读者应该大白了吧：并不是图片本身能传播病毒，而是系统负责图形处置工作的模块会在处置图片时发生溢出导致图片内携带的恶意指令得以执行粉碎。若是某个图片东西不挪用这个系统模块，而是利用本身的处置模块，那么同样包含恶意指令的图片就不能达到粉碎目标。可是因为这个系统模块是默认的处置模块，所以大部门法式在“JPEG病毒”面前纷纷落马。

　　这个溢出是怎么发生的呢？这要从系统若何读取JPEG格局图形的道理说起，系统处置一个JPEG图片时，需要在内存里加载JPEG处置模块，然后JPEG处置模块再把图片数据读入它所占有的内存空间里，也就是所说的缓冲区，最后我们就看到了图片的显示，然而就是在图片数据进入缓冲区的这一步出了错——Windows划定了缓冲区的大小，却没有严酷检查现实容纳的数据量，这个带缺陷的鸿沟检查模式导致了恶梦：入侵者把一个JPEG图片的数据加工得异常庞大并一起恶意指令，那么这个图片在系统载入内存时辰会发生什么环境呢？图片数据会涨满整个JPEG处置模块供给的缓冲区并刚好把恶意指令溢出到法式自身的内存区域，而这部门内存区域是用于执行指令的，即焦点区，于是恶意指令被法式误执行了，入侵者粉碎系统或入侵机械的行为得以正常实施。有人也许会迷惑，入侵者都是妙算子吗，他们为什么能精确的知道会是哪些数据可以溢出执行？谜底很简单，因为Windows在分派JPEG处置模块的空间时，给它指定的内存肇端地址是固定的，入侵者只要计较好这个空间大小，就能知道会有哪些数据被执行了，所以JPEG病毒敏捷传播起来。p48

　　所谓JPEG病毒，并不是JPEG图片能放出病毒，而是系统处置JPEG图片的模块本身执行了JPEG图片携带的病毒，所以我们大可不必人心惶惑，只要补上了GDIPLUS.DLL的缝隙，那么即使你机械上的所有JPEG图片都带有病毒数据，它们也无法流窜出来搞粉碎，正如美国马萨诸塞州立大学助理传授奥斯汀所言：“病毒不仅仅是可自我复制的代码，他们需要经由过程可执行代码的方式来进行传播。JPEG文件不能执行代码，他们是由应用软件打开的数据文件。应用软件不会去查找数据文件中的可执行的代码，为此不会运行这些病毒代码。”

p51

　　四、提防

　　对于子虚图片文件的棍骗手法，只要用户补上了MIME和IFRAME缝隙，那么入侵者让你逗留多久也无济于事；至于BMP木马，它的提防是几乎不成避免，可是它有个最大的弱点，大部门环境下只能在Win9x环境正常执行，用Win2000以上的用户不必杯弓蛇影了；而对于JPEG病毒来说更好办了，微软已经供给JPEG模块的更新了，你倒是去补一下啊！即使真的一点也不会，买个防病毒软件在后台监督也OK了，可是为什么国内用户却偏偏喜好徒劳的发急？p54

　　纵观这一系列图片病毒的道理和手法，我们可以发现“社会工程学”这个身影的扩大化趋向。若何避免上当，这只能看你本身了。

p57