2

У меня есть клиент, чей сайт (не тот, который я разработал) заражен троянским / вредоносным кодом. Я попросил его прислать мне грязные файлы в формате zip, но Gmail или распаковка блокирует их.

Я пробовал текстовые файлы и текстовые файлы, и я подозреваю, что многие различные типы файлов будут заблокированы одинаково, либо моим почтовым клиентом, антивирусным программным обеспечением, браузером и т.д. (Что нормально).

Знаете ли вы, как он мог бы поделиться этими строками, чтобы я мог прочитать их и немного изучить вредоносный исходный код?

Изображение / скриншот его текстового редактора было бы идеей, но файлы длинные, и я предпочел бы иметь возможность копировать / вставлять из них.

4 ответа4

9

Вероятно, это Gmail - он все-таки предназначен для этого и сканирует на вирусы. Я подозреваю, что использование менее распространенного метода сжатия может сработать (.xz может работать для одного файла - zip-файлы проверяются из моих очень ненаучных тестов Gmail), или просто записать его на DVD или другой носитель и фальсифицировать его, возможно, будет лучше ,

Учитывая, что вы реагируете на происшествия, не слишком ли сложно запрашивать доступ к сайту напрямую для загрузки файлов? Это было бы самым простым, и вы можете наблюдать компромисс в его естественной среде.

4

Просто используйте зашифрованный zip-файл, либо разрешите самому zip-шифрованию выполнять шифрование, либо используйте gpg для его шифрования. Затем отправьте зашифрованный файл по почте и обменяйте парольную фразу, чтобы вы могли распаковать ее на другом конце. Таким образом, антивирусный сканер не может прочитать содержимое и, следовательно, не должен блокировать его.

2

Одним из способов, который вы всегда можете использовать, является создание архива (zip, tar, что угодно). Uuencode, который архивирует и удаляет начало 600 имени файла с начала и конца с конца закодированного результата.

Я никогда не сталкивался с антивирусным сканером, блокирующим чистые файлы ASCII. И это как раз результат вышеуказанных операций.

Восстановить его так же просто, как открыть файл в текстовом редакторе. Добавление начальных и конечных строк, а также использование uudecode или winzip для их декодирования.

1

Я испытал это, что злонамеренные злонамеренные файлы имеют тенденцию оставаться незамеченными антивирусными сканерами.

Попробуйте встроить заархивированный вредоносный файл в другой заархивированный файл (и, возможно, в другой), и большинство сканеров не обнаружат его, пока вы не извлечете его до конечного уровня (непосредственно перед извлечением файла). В этот момент вы можете отключить антивирус и извлечь или извлечь файл в Linux, где большинство троянов / вирусов не работают.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .