Какие типы (РАСШИРЕНИЯ) файлов можно не проверять ?

[ANDYBOND 283]

To dr_dizel!

Согласен. Логично.

[dr_dizel 385]

...Расширить до нужных размеров и использовать....

Виталик?

[A. 875]

А разве их можно запустить?

Речь не идет о том, "что может запустить пользователь".

[ANDYBOND 283]

Я уже понял.

Виталик?

К счастью, нет.

[dr_dizel 385]

...есть такая штука, джойнер называется, грубо говоря к лиценхионной программе скачаной с офф. сайта и в которой нет виря, прикрепляется вирус, т.е. их как бы склеивают...

А много таких обоюдорабочих вариантов можно джойнером наклепать из типов, что представлены, например, на первой странице темы?

[vidocq89 0]

А много таких обоюдорабочих вариантов можно джойнером наклепать из типов, что представлены, например, на первой странице темы?

если честно, то я не совсем понял смысл вопроса... но что бы не было никаких недоразумений в кратце расскажу принцип джойнера (вдруг кто не знает) - джойнер создает исполняемый файл в ресурсах которого (или не в ресурсах) хранятся те файлы, которые "склеили". При запуске этой склейки, файлы просто извлекаются во временную папку (это необязательно - можно и в любую другую - зависит от автора джойнера) и запускаются. Т.е при склейке например картинки и вируса получается ехешник, в котором храняться эти два файла, а при запуске его запуститься вирус из временной папки и картинка откроется в том просмотрщике картинок, который стоит в вашей системе на просмотр данного формата...

не слишком коряво рассказываю?...

все нормальные антивир. компании стараются своевременно детектить джойнеры. Как? Очень просто - детектят стаб джойнера.

Но в виду того, что джойнер грубо говоря это пара строк кода, то...

[dr_dizel 385]

если честно, то я не совсем понял смысл вопроса...

Я собственно о том, что не всегда склеивание различных типов файлов сможет породить работоспособную связку из двух запускаемых файлов для сокрытия вируса (например .dll + .ico). Но это к слову.

Как много типов результирующих файлов может породить джойнер (кроме очевидного .exe)?

[dr_dizel 385]

В продолжение темы.

Вот этот файлик в архиве какого типа?

virus.zip

Кстати, доделать его до дроппера средствами винды очень просто.

virus.zip

[dan 10]

Не хочу цитировать каждого второго и говорить что Вы и Вы не правы.

Проведите эксперимент (на программе Far Manager):

идём в папку с Far'ом и копируем far.exe в far.txt .

после этого делаем: start far.txt

Удивляемся...

Дело в том, что винде пофигу что её просят запустить, лишь бы было формата PE.

Аж уж сколькими способами можно заставить винду сделать на файл WinExec или CreateProcess я тут описывать не буду.

И именно по этому мне очень смешно, когда я вижу антивирусы типа Авиры, которые в настройках по умолчанию монитором проверяют файлы по расширениям.

Самого пользователя они может и защитят допроверяя файл при запуске, но от распространения вирья на другие компы сети защищают весьма поверхностно.

[dr_dizel 385]

после этого делаем: start far.txt

Удивляемся...

Дело в том, что винде пофигу что её просят запустить, лишь бы было формата PE.

Ну, это start-у пофигу, а вот винде не очень. Так и пользователя можно просто попросить написать "format c:".

И я что-то не понял, с кем вы не согласны. Вроде все уже согласились, что проверять надо всё. Да и само понятие "типа" может быть не всегда точно определено.

Кстати, какого же типа тот мой файл?

[dan 10]

Ну, это start-у пофигу, а вот винде не очень. Так и пользователя можно просто попросить написать "format c:".

И я что-то не понял, с кем вы не согласны. Вроде все уже согласились, что проверять надо всё. Да и само понятие "типа" может быть не всегда точно определено.

Кстати, какого же типа тот мой файл?

Файл удовлетворяет формату архива cab и формату bat и так же ещё десяткам других текстовых форматов.

[NickXists 5]

Ну, это start-у пофигу, а вот винде не очень...

Shell-функциям - да, не все равно: проверяется ассоциация

А CreateProcess-у, как уже было сказано выше, расширение файла абсолютно до лампочки:

[Mike 125]

рассмотрим к примеру расширение dwg ...

небольшой оффтоп, просто вспомнилось:

самое страшное, что я когда-либо держал в руках, это был вирус, не любивший расширение dwg.

а в этой теме в оффтопах я игрался с текстовыми файлами:

http://www.anti-malware.ru/forum/index.php?showtopic=2849

[dr_dizel 385]

А CreateProcess-у, как уже было сказано выше, расширение файла абсолютно до лампочки:

Вы бы ещё привели шеллкод в юникоде и сазали, что ведь текст не зачитывается вслух.

[NickXists 5]

Вы бы ещё привели шеллкод в юникоде и сазали, что ведь текст не зачитывается вслух.

: )

ok. "а на словах просила передать":

при иcпользовании функций создания процесса (в отличие, например, от запуска ShellExecute с параметрами вида "open"\"print") расширение файла {в обсуждаемом смысле} значения не имеет.

Процесс (визуально) создается успешно, делать с ним дальше можно все, что позволяет фантазия, а функция возвращает значение, соответствующее "успеху".

p.s.

- Сократ, а не вбить ли мне верное представление прямо вам в голову?!

- Нет! Вот этого не надо!

© "Сократ"

[dr_dizel 385]

ok. "а на словах просила передать":

Вы с кем-то спорите?

[Б.. 10]

А какой прогой можно открыть файл с расширением DST? и опасно ли это?

[Umnik 997]

Гугл в помощь

[Андрей-001 1099]

Б.. Есть такая программка, которая в этом может помочь.

Если не находит - подключаетесь к онлайн-базе.

DST - Это какие-то детективные истории. Какая-то ерунда на английском.

1) WAIN (Scanner Spec) Data Source DLL

2) Tajima Embroidery Machine Stitch File

3) MicroImages Priroda Lens Correction Photo-grammetric Distortion Values (radius/distortion pairs) Specification (MicroImages, Inc.)

4) Orchida Embroidery System (Orchida Soft)

5) PC-RDist Distribution File (Pyzzo)

6) Micrografx Designer Template

7) C++ Desktop Settings (Borland Software Corporation)

8) CubicPlayer file

9) ViPNet Products Encryption Key Set (Infotecs)

10) Home Embroidery Format

См. ниже у Umnik ссылку на закачку новой версии программы Определитель. А свой файл я удаляю, чтобы он не висел тут зря.

[Umnik 997]

Андрей-001

А еще можно было сделать так