Перейти к содержанию
Vadym.O

Какие типы (РАСШИРЕНИЯ) файлов можно не проверять ?

Recommended Posts

ANDYBOND

To dr_dizel!

Согласен. Логично. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...Расширить до нужных размеров и использовать....

Виталик? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
А разве их можно запустить? ;)

Речь не идет о том, "что может запустить пользователь".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Я уже понял.

Виталик? :)

К счастью, нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...есть такая штука, джойнер называется, грубо говоря к лиценхионной программе скачаной с офф. сайта и в которой нет виря, прикрепляется вирус, т.е. их как бы склеивают...

А много таких обоюдорабочих вариантов можно джойнером наклепать из типов, что представлены, например, на первой странице темы? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vidocq89
А много таких обоюдорабочих вариантов можно джойнером наклепать из типов, что представлены, например, на первой странице темы?

если честно, то я не совсем понял смысл вопроса... но что бы не было никаких недоразумений в кратце расскажу принцип джойнера (вдруг кто не знает) - джойнер создает исполняемый файл в ресурсах которого (или не в ресурсах) хранятся те файлы, которые "склеили". При запуске этой склейки, файлы просто извлекаются во временную папку (это необязательно - можно и в любую другую - зависит от автора джойнера) и запускаются. Т.е при склейке например картинки и вируса получается ехешник, в котором храняться эти два файла, а при запуске его запуститься вирус из временной папки и картинка откроется в том просмотрщике картинок, который стоит в вашей системе на просмотр данного формата...

не слишком коряво рассказываю?...

все нормальные антивир. компании стараются своевременно детектить джойнеры. Как? Очень просто - детектят стаб джойнера.

Но в виду того, что джойнер грубо говоря это пара строк кода, то...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
если честно, то я не совсем понял смысл вопроса...

Я собственно о том, что не всегда склеивание различных типов файлов сможет породить работоспособную связку из двух запускаемых файлов для сокрытия вируса (например .dll + .ico). Но это к слову.

Как много типов результирующих файлов может породить джойнер (кроме очевидного .exe)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

В продолжение темы.

Вот этот файлик в архиве какого типа?

virus.zip

Кстати, доделать его до дроппера средствами винды очень просто.

virus.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan

Не хочу цитировать каждого второго и говорить что Вы и Вы не правы.

Проведите эксперимент (на программе Far Manager):

идём в папку с Far'ом и копируем far.exe в far.txt .

после этого делаем: start far.txt

Удивляемся...

Дело в том, что винде пофигу что её просят запустить, лишь бы было формата PE.

Аж уж сколькими способами можно заставить винду сделать на файл WinExec или CreateProcess я тут описывать не буду.

И именно по этому мне очень смешно, когда я вижу антивирусы типа Авиры, которые в настройках по умолчанию монитором проверяют файлы по расширениям.

Самого пользователя они может и защитят допроверяя файл при запуске, но от распространения вирья на другие компы сети защищают весьма поверхностно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
после этого делаем: start far.txt

Удивляемся...

Дело в том, что винде пофигу что её просят запустить, лишь бы было формата PE.

Ну, это start-у пофигу, а вот винде не очень. Так и пользователя можно просто попросить написать "format c:".

И я что-то не понял, с кем вы не согласны. Вроде все уже согласились, что проверять надо всё. Да и само понятие "типа" может быть не всегда точно определено.

Кстати, какого же типа тот мой файл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dan
Ну, это start-у пофигу, а вот винде не очень. Так и пользователя можно просто попросить написать "format c:".

И я что-то не понял, с кем вы не согласны. Вроде все уже согласились, что проверять надо всё. Да и само понятие "типа" может быть не всегда точно определено.

Кстати, какого же типа тот мой файл?

Файл удовлетворяет формату архива cab и формату bat и так же ещё десяткам других текстовых форматов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Ну, это start-у пофигу, а вот винде не очень...

Shell-функциям - да, не все равно: проверяется ассоциация

notepadwithdummyextbo3.th.png

shexecba3.th.png

shexecreultsaj5.th.png

А CreateProcess-у, как уже было сказано выше, расширение файла абсолютно до лампочки:

crprcyt5.th.png

crprcresultskr0.th.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mike
рассмотрим к примеру расширение dwg ...

небольшой оффтоп, просто вспомнилось:

самое страшное, что я когда-либо держал в руках, это был вирус, не любивший расширение dwg.

а в этой теме в оффтопах я игрался с текстовыми файлами:

http://www.anti-malware.ru/forum/index.php?showtopic=2849

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А CreateProcess-у, как уже было сказано выше, расширение файла абсолютно до лампочки:

Вы бы ещё привели шеллкод в юникоде и сазали, что ведь текст не зачитывается вслух. :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NickXists
Вы бы ещё привели шеллкод в юникоде и сазали, что ведь текст не зачитывается вслух. :lol:

: )

ok. "а на словах просила передать":

при иcпользовании функций создания процесса (в отличие, например, от запуска ShellExecute с параметрами вида "open"\"print") расширение файла {в обсуждаемом смысле} значения не имеет.

Процесс (визуально) создается успешно, делать с ним дальше можно все, что позволяет фантазия, а функция возвращает значение, соответствующее "успеху".

p.s.

- Сократ, а не вбить ли мне верное представление прямо вам в голову?!

- Нет! Вот этого не надо!

© "Сократ"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
ok. "а на словах просила передать":

Вы с кем-то спорите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..

А какой прогой можно открыть файл с расширением DST? и опасно ли это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Б.. Есть такая программка, которая в этом может помочь.

DST.JPG

Если не находит - подключаетесь к онлайн-базе.

DST - Это какие-то детективные истории. :) Какая-то ерунда на английском.

1) WAIN (Scanner Spec) Data Source DLL

2) Tajima Embroidery Machine Stitch File

3) MicroImages Priroda Lens Correction Photo-grammetric Distortion Values (radius/distortion pairs) Specification (MicroImages, Inc.)

4) Orchida Embroidery System (Orchida Soft)

5) PC-RDist Distribution File (Pyzzo)

6) Micrografx Designer Template

7) C++ Desktop Settings (Borland Software Corporation)

8) CubicPlayer file

9) ViPNet Products Encryption Key Set (Infotecs)

10) Home Embroidery Format

См. ниже у Umnik ссылку на закачку новой версии программы Определитель. А свой файл я удаляю, чтобы он не висел тут зря.

post-3999-1211456124_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

А еще можно было сделать так ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
×