关闭

如何伪装zip文件

标签: 结构解密
638人阅读 评论(0) 收藏 举报
分类:

如何伪装zip文件

 

需要用到的材料和工具

1、  待处理的特殊图片。下载地址:http://vdisk.weibo.com/s/z27nS083bQFOP

2、  Uedit32编辑器。下载地址:http://pan.baidu.com/s/1GeMhT

 

特别提醒,如果你解密出来了,可以得到QQ数据库的下载地址,如果地址失效,请在本篇博文留言。

 

首先我们下载了经过特殊处理的图片,这张图片经过了图片种子的处理,本人在图片文件的末尾添加了zip压缩包,制作图片种子的方法很简单,可参考该篇文章http://jingyan.baidu.com/article/ff42efa97df89cc19f22024e.html

然而本文并不主讲图片种子,我想已有人通过修改图片的后缀名马上得到压缩包文件,现在我们修改图片文件的后缀,把它修改成zip,用winRAR或者其他压缩工具即可打开,如下图,分别为winRAR、360压缩打开画面。

 

我们会发现两者不同,明显的在winRAR多出了一个download.txt文件夹,而这个文件夹将会是我们的主角。

现在我们打开Uedit32工具,把图片拖进到Uedit32编辑窗口将会以16进制的形式展示,如下图:

 

开头的这部分是一张图片的内容,我们拖动滑块移动最下方,我会发现另外一些内容,如下图:

 

图中所画的地方是不是很熟悉,其实他们对应的就是在压缩工具看到的文件和文件夹,共有两组,上半部分为File Entry Header,下半部分为File Header,详细zip文件结构可参看http://lib.yoekey.com/?p=236

现在我们迷惑的地方是为什么一个是文件夹一个是文件,我们在上图发现,画圈的部分和下划线的部分有一点不一样,那就是画圈的部分多了一个反斜杠“/”,正因为反斜杠,让压缩工具误以为文件夹,所以我们解压后只能得到文件夹,而文件并没有解压出来。

现在我们只需要把反斜杠修改成其他字符即可,我们可以在网上找到ASCII工具,输入下划线“_”得到16进制5f,这时我们只需要替换掉反斜杠的16进制2f即可,变成如下图的模样:

 

这时我们再次用压缩工具打开修改后的文件,就会发现多出了一个“download.txt_”文件,到此解压后就可以用记事本打开。

 

顺便提一下,当年风靡全国的熊猫烧香病毒,也是在了解PE文件结构后对其修改,让图标变成熊猫烧香的模样,那么为什么能够写出如此“牛”的病毒作者却不能在安全公司任职呢,首先熊猫烧香是一款应用级别的病毒,是一款病毒下载器。

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:9701次
    • 积分:426
    • 等级:
    • 排名:千里之外
    • 原创:33篇
    • 转载:2篇
    • 译文:0篇
    • 评论:1条
    最新评论