Двач, объясни, как работают вирусы в JPEG'е. Мне понятно, как именно код программы может храниться в картинке, но я не понимаю, как оно потом должно выполниться. Короче, объясните, как происходит запуск вируса из jpeg картинки.
Бамп
Никак, это миф.
>>170460949Охотно верю, но есть антипруфы?
Че за хуйня какие еще вирусы в картинке
>>170460866 (OP)
Архив пакуется в exe-шник и переделывается в картинку. По крайнем мере так делали в далеком 2009 году
Html вирусы
>>170461074> Мне понятно, как именно код программы может храниться в картинке, но я не понимаю, как оно потом должно выполниться.
>>170461095Чего? Причем тут html?
>>170461120jpg исполняется как обычный exe фаилhttps://youtu.be/Yu9uVQuxhdY
это же сраная шинда, здесь можно наебать процентов 75% юзеров простым переименовыванием расширения файла, а там какой то екзешник как писали выше
.jpg - не может быть вирусом, мань. Можно .exe замаскировать если это можно так назвать и выдать за .jpg , надеясь на незнание некоторых. Но это для настолько далеких от кумпуктеров, что пиздец.Сажи, недо- хакеру.
>>170461181На видео чувак показал, как наебать winrar, чтобы exe-файл показывался как jpeg файл, окей. Но этот трюк перестанет работать как только он достанет эту "картинку" из архива, разве нет? По идее, при попытке открыть извлеченную картинку, просмотрщик выдаст ошибку, так?
>>170461783уже будет поздно)))))
>>170461737> .jpg - не может быть вирусом, мань.Да блядь, я это понимаю, не тупой. Но я слишком часто слышал про jpeg-вирусы, и про то, что якобы, если их открыть, запустится экзешник. Вот мне и стало страшно, мало ли, я чего-то не знаю.
>>170461783Архив делается не простой, а такой который разархивирует файл и сразу его исполняет, потом сразу после выполнения программы-вируса файлы удаляются. В Винраре есть куча настроек для такого.
>>170461946Все антивирусы такое палят, расслабься
>>170461972И на все это способен формат jpeg? То есть, обычная программа для просмотра изображений, через которую я открою картинку, выполнит все эти махинации с архивом?
>>170460866 (OP)Rarjpeg это называлось
>>170461997Я не столько боюсь напороться на такой вирус даже с учетом того, что единственный антивирусник на моем пк - защитник виндоус, сколько хочу понять, как же это все таки работает и работает ли вообще.
>>170460866 (OP)Дело в том, что в формате записи картинки длина строки должна быть кратна четырем.Если длина, например, 1021 - у тебя в конце каждой строки нужно добавить три пустых структуры ргба(уж цвета пикселя+компонента прозрачности) по четыре байта.Задача стеганографии - шифровании данных в тексте, изображении, звуке - в том, чтобы незаметно в такие места загнать нужную информацию.И, так как все загружаемое тобой пихается в оперативную память, оно "исполняется".Если ты сможешь правильный код правильно записать в эти пустые структуры, то он загрузится в оперативную память и исполнится, чем хакер и пользуется.
>>170462194В теории такое возможно, но только в случае, если присутствует какая-либо уязвимость в той программе (браузер, просмотровщик картинок, фоторедактор), через которую ты открываешь этот жпег.
>>170462339С чего бы вдруг этому коду выполниться только из-за того, что оно в оперативной памяти? Оно же хранится там как переменная в программе для просмотра изображений. Я ничего не понимаю.
>>170462712В том и вопрос, как правильно его туда записать.Если ты в оперативную память передашь явную последовательность команд на ассемблере - процессор их исполнит.Потому это достаточно сложная задача
>>170462368То есть, иной возможности запустить вирус открывая картинку с учетом того, что ты не дебил и не открываешь файл nevirus.jpg.exe все же нет? Если так, то это очень хорошо, потому что не хотелось бы узнать, что я идиот, раз не знаю таких простых вещей. Спасибо
Просто переименовают екзешник в жипег, и всё. Юзер кликает и запускает вирус.
>>170462761Но процессор же не выполняет то, что записано в оперативной памяти сам, этим руководит операционная система, разве не так?
>>170462943Так оно же через просмотрщик откроется и выдаст ошибку, какой смысл?
>>170460866 (OP)Могут быть уязвимости в конкретном декодере изображений, например в том, который используется в браузере. Тогда можно сформировать такой файл, который выполнит переполнение стека и при выходе из функции управление передастся прямо в участок памяти, занятый файлом. Если в этом месте файла будет валидный двоичный код - он выполнится.Такая атака сильно завязана на декодер, архитектуру, версию ос, и вообще маловероятна. Но такие случаи бывали
Оп, еще бываю тта кие вещи, когда вставляешь картинку на говноофоруме через ббкод ([img url=]). Тогда можно вставить картинку, которая будет грузиться с твоего сервера, подавая запрот именно туда. Ну и тогда за счет этого ты можешь уже какой-то эаваскрипт выполнять даже
>>170462984ОС передает процессору последовательность команд через оперативную память, понял?Вопрос в том, что в ОСи должна быть реализована защита от несанкционированной диктовки команд, как в случае с левыми командами из файла
>>170461972че ты блядь несешь, если sfx архив, то у него расширение exe, не может обычный архив запустить файл при распоковке
>>170460998Антипруфы в том, что картинка это не исполняемый файл, в жипеге закодированы всего лишь сетки пикселей и все
>>170460866 (OP)Никак они не работают, потому что это невозможно. Ты можешь замаскировать исполняемый файл под картинку (например перенести расширение в другую часть имени), но это все равно будет исполняемый файл, а не пикча.
>>170463199О какой несанкционированной диктовке комманд может идти речь, если данные из файла с "картинкой" записываются в конкретную переменную/массив и не будут никак затронуты, пока этого не сделает сама программа (просмотрщик)? Значит ли это, что если написать программу, содержащую массив с последовательностью комманд для процессора, то они выполнятся при запуске этой программы? Господи, я нихуя не понимаю.
>>170460866 (OP)Вирус rms либо знание командной строки в win
>>170463370Сам то понял, что спизданул?
>>170463370+ первое что палит это большой размер изображения, хотя и это поправимо
>>170463365Вот ты ходишь рядом и рядом, но на понимаешь.Для того, чтобы записать данные с картинки в массив, их надо считать в оперативу.И если в этот момент в оперативе окажутся инструкции для процессора, то он их исполнит
>>170463454Вирус небось?
Видел я тут на дваче недавно кидали пикчу с эксплоитом
>>170463508Так ведь данные в оперативной памяти пишутся не куда попало, там же организована структура. Конкретный участок памяти занимается конкретным процессом, и этот участок не затрагивается ничем, кроме самого процесса. Как это возможно?
>>170463633Как раз куда попало и пишутся. Где нашелся под однобайтовую переменную свободный участок - туда она и садится. Если хочешь записать массив в 100 байтов - то он поместится в то место, где есть эти 100 свободных байт.Потому, прогая на си, очень важно следить за распределением памяти.Так что при записывании вредоносного кода нужно ещё и учесть его порядок записи.А под отдельный процесс не выделяется участок памяти - только под переменные, используемые им.Представь, что ты запускаешь программу, которая ждёт 10 минут и начинает добавлять переменные, определяя им место в памяти.А если бы программе уделялся участок памяти, то влезший следом процесс занял бы потенциально используемый программой участок - здравствуйте, Segmentation Fault
братюнь, словить вирь от картинки может только полный многохромосомныйэто работало раньше, когда все были дятлами и не могли тупо диалап модем себе настроить и ось переустоновитьюниксойдам мое почтнеие
>>170463839Но в таком случае выходит, что, чтобы данные записанные в оперативную память выполнились, нужно, чтобы они были там, где записан код какой-то выполняющейся программы, но ты сам сказал, что новые переменные записываются в свободные места, то есть, подобного казуса произойти не может. Так как тогда это возможно?
>>170461074как тут? -> >>170461181
>>170464166Так там записаны не ифы и присваивания в чистом виде, а инструкции на ассемблере, потому им не важно, что они находятся в конкретном участке или нет
>>170464699Ничего не выполнится, уже пояснили выше, зависит от уязвимости декодера файла и ос, если софт и ос свежие то такие уязвимости как атаки из файлов не сработают
>>170463261Я про sfx и говорил
>>170465256так у него exe расширение, кто добровольно его запускать будет
>>170462339Дебич, в памяти код делится на исполняемые блоки и на блоки памяти. Проц никогда не будет исполнять код из последних. Это аппаратная защита.
Тут все ответы:https://www.reddit.com/r/computers/comments/3n14f9/can_a_jpeg_file_contain_a_virus_and_harm_your/Очень интересный трик детского уровня там описан. Берешь вирус virus.exe и переименовуешь в virus.jpg.exe. В большинстве случаев "целевая аудитория" пользуется дефолтными настройками эксплорера, а именно "скрывать разрешение файлов". В итоге у тебя будет файл virus.jpg с иконкой экзешника. Многие открывают такой файл.Гугли еще Windows DEP и кольца защиты процессора.
>>170460866 (OP)Тут главное не только вирус в файл JPEG загнать, но и поставить его на исполнение, а не на чтение.Это запросто делается на интернет сервере администратором. Просто рисунок будет считаться исполняемым файлом PHP (.php). Для атаки же, надо ещё и сервер ломануть.
>>170463261Может. Вот, недавно какой-то хуйни скачал, а там экзешник попытался запуститься, но мой аваст его приложил.
>>170462339>>170462761>>170463199Какой несанкционированной диктовки, даун, блять?Это же картинка, а не мп3.Часто тебе психиатры картинками диктуют?>>170462984Из-за того, что в придуманных задротами-даунами языках С и С++ никаких встроенных проверок границ массивов и прочего в таком духе чаще всего нет (а макаки тупо проебываются их вручную прописать), из-за неправильной логики в коде обработки твоего специально подготовленного, возможно, некорректного JPG'a данные из этого жипега попадают туда, куда попадать не должны (например, в какие-то внутренние структуры этого кода из-за выхода за границы буфера, отведенного под эти данные) и, таким образом, нарушают функционирование программы. В результате состояние программы меняется и она может, например, слить что-нибудь по сети хакеру, или разрешить доступ к чему-то.
>>170466057Не пытался он запуститься, просто аваст увидел вирус в екзешнике при распоковки и сообщил. Все.
>>170466239Джава-пидор закукарекал
>>170465946Кого ты атаковать собрался дебич? Такого рода атаки осуществляются при неправильной конфигурации веб-сервера и осуществляются они НА веб-приложение, а не его клиентов.
Допустим есть важная инфа которую нужно вынести из офиса. Флешки, траффик мониторятся, все вложения на внешнюю почту тоже. Можно взять картинку 1мб и с помощью раржпег сделать её 3мб с архивом с нужными файлами. Или это вложение вполне может задетектится где нибудь как *.rar.jpg?
>>170467635Прмнтер есть в офисе? Просто напечатай файл.
>>170460866 (OP)Ну ты лол. Сейчас поясню тебе. Картинка - код. У кода картинки есть среда исполнения - программа для просмотра изображений. Когда ты открываешь картинку в просмотрщик изображений, происходит интерпретация кода картинки. Код картинки можно модифицировать так, что когда он будет интерпретироваться в просмотрщик(интерпретаторе), то это вызовет сбой. Всё изи.
>>170460866 (OP)Гугли про склейку
>>170468221Это тоже детектится. Вплоть до того что именно ты распечатал
>>170466057>скачать свежие моды.exeПиздец ты конечно даун, теперь понятно на какую категорию людей рассчитаны антивирусы.
>>170466057>скачать свежие моды.ехе
>>170470484Склейка ≠ картинка
>>170471812Двачую, вообще хуй знает как можно подхватить вирус. Лет 5 сижу без антивируса и все заебца, бывает проверяю доктором вебом раз в пол года, нихуя не находит
>>170473230Из склейки картинка получается так-то и открывается картинка, так что картинка
>>170471812Еще и аваст, самый хуевый антивирус, который везде вирусню видит
>>170474166картинка с расширением exe, лол?
>>170460866 (OP)Можно сделать php скрипт с вирусом и залить его на свой сайт, дописав в конце .jpgСсылка будет выглядеть как ololo.com/ololo.jpg и по ней будет открываться картинка, но вместе с этим и вирус.
https://github.com/peewpw/Invoke-PSImage
>>170474278Нет, с расширением JPG
>>170474704ссылку давай, не может картинка быть исполняемым кодом
>>170474792Гугли склейку, уже говорил выше
>>170474929Загуглил, склейка работает только если в реестре прописана определенная инструкция, а значит, чтобы заразить кого-то вирусом, нужно, чтобы он перед этим как-то умудрился самостоятельно открыть .reg файл, и только после того, как его реестр будет отредактирован, при открытии картинки, запустится и экзешник, запакованный в картинке. Короче, я окончательно убедился, что jpeg-вирус не существует.
>>170460866 (OP)Переполнение буфера.
>>170475777https://www.cvedetails.com/cve/CVE-2004-0200/
>>170466239Вот этот правильно написал. В теории если будет уязвимость в просмотрщике jpeg, то можно исполнить код при открытии. Но на практике скорее всего не реально
>>170474391Так?> <?php> echo('<img src="img.jpg">');> ...> ?>Вообще, я не это имел ввиду под jpg-вирусом. А если говорить об этом способе, такой код не сможет нанести серьезный вред жертве, если жертва не дебил. Без разрешение на использование ActiveX, ничего не произойдет.
>>170476004> https://www.cvedetails.com/cve/CVE-2004-0200/Какое отношение это имеет к склейке? Там же, вроде, про уязвимости программ для просмотра изображений. Объясни.
>>170476099А разве при переподнении буфера не происходит segmentation fault? Операционная система тупо не позволит заполнить данными занятый другим процессом участок памяти. Если до сих пор шиндовс не защищает от этого, то это пиздец странно.
>>170476658Переполнение буффера происходит в том же процессе. С этим борются, но хакеры тоже не дураки.
>>170476099Более того, не только jpeg. В разное время были уязвимости в pdf и html.
>>170476726Но по идее с этим несложно бороться: запретить запись данных в участок памяти, занятый исполняемой частью процесса. То есть, переменные и массивы плескаются в своей луже, а сам код программы в своей, разве не так это работает?
>>170476840А я и не помню почему стек в исполняемой памяти. Есть какие то техники, когда программам нужно создание кода на лету, с этим связано.
>>170476840И вообще большая часть защит понижает производительность компа.
>>170477423И только из-за этого такие банальные меры безопасности, как запрет на перезапись ячеек в секции с исполняемым кодом в памяти, не применяются? Сомневаюсь.
Не хочу создавать новый тредАктуально ли ещё создание кейгенов? Хочу поднатореть в дизассемблинге и ассемблере
>>170476658Да ничего это не странно, это проеб проектировщиков языков, которые я указал (дизайн языка Си... лол, да это же наколенная поделка, возведенная в иконы индустрии. Задроты такие задроты). Допустим, если за массивом сразу лежит какой-нибудь дескриптор, а память была выделена кастомным аллокатором, ОС никак не отловит выход за пределы массива, т.к. для нее это все один блок.Ну и кроме переполнений есть еще куча других, более специфичных для С++ проблем (и все они проявляют себя зачастую не сразу, и не всегда; т.е. когда билд уже улетел к кастомерам).Вообще, подобное пытались пофиксить разработчики тулзов вроде ASan, TSan и прочих. Вот они как раз-таки генерировали "ловушки" на границах буферов, чтобы нельзя было вылезти за них. Достигалось это, разумеется, доработкой компилятора и его инфраструктуры и широко используется, например, в гугле для хромиума. По рассказам авторов, ошибок с момента внедрения уже нашли хуеву телегу, буквально тысячи их. Хотя главная проблема - это дизайн языков, как я уже не раз говорил.>>170466389Да хуй соси, дебил, блять. Я крестобайтоеб.хотя не против бы в джаву перекатиться
>>170479807скажи человеческим языком, может вирус меня трахнут вылезя из картинки или другого не-исполняемого файла?
>>170462339Довольно упитанно.
>>170480001Да, технически такое возможно. Как бы не дико это звучало, но через картинку тоже можно хакнуть.И уже была такая уязвимость.Есть ли в данный момент in the wild подобное, я не подскажу, ибо не я хакер.https://xakep.ru/2016/10/03/openjpeg-0day/>Написанная на C библиотека OpenJPEGНу а на каком еще наколенном говне она могла быть написана?https://nvd.nist.gov/vuln/detail/CVE-2016-8332>A buffer overflow in OpenJPEG 2.1.1 causes arbitrary code execution when parsing a crafted image.
>>170480322ну наверно все совремнные просмотрищики не имеют такого бага, верно?
пенис
бепис
>>170461499Двачую, только позавчера на работе тупые макаки из почты запустили "платежное поручение.exe"
>>170476658Тогда каким образом работает Артмани и прочие чит энджины?
походу не слышали мамкины хакеры про RtL Override. Один файл на пике - откроется как экзешник, какой?
>>170481977Бля, и то правда
>>170485310asdusexe.png?
>>170460866 (OP)Спермопроблемы же.А да, где noHички мои?
>>170485310Не знал о такой штуке, спасибо. Получается, что файл с название "file.exe.jpg" на самом деле записан как "file.[rtl]gpj.exe"?
>>170487780содомит
>>170460866 (OP)Блядь, ебаный ты шизоид, ты можешь нормально выражать свои мысли? Твой поток сознания читать просто невозможно. Возникает ощущение, что у тебя разорванное мышление или речевая бессвязность. Просто словесный шум какой-то. Прими таблетки и не забывай посещать психиатра, у которого наблюдаешься.
>>170460866 (OP)Не слушай дебичей, которые тут тебе всякую хуйню пишут. Из jpeg нельзя выполнить код. Вот если добавить в пикчу код, а потом через программу его исполнить, тогда другое дело.Например, добавил в самый конец картинке код на пхп, интерпритатор необходимо запустить на чтение файла с нужного символа и до конца файла. Вуаля.Именно по такому принципу это работает с картинками. В частности в джипегом. В остальных случаях екзешник мимикрируют под кариинку. Можно в имени файла вставить специальный символ, который ос будет воспринимать как текст справа на лево. Т.е. Строка jpg.exe будет в системе видна как exe.jpg. Двойной клик по такой пикче выполнит екзешник.
>>170487811Что?
>>170487894Пошел нахуй отсюда со своей пастой
>>170488499содомит ты
>>170488089Насчет символа уже разобрался и потестил сам, действительно работает.
>>170488564Ясно
>>170488671Хуясно! Это очень серьёзное заболевание, а ты показываешь полнейшее безразличие!
>>170474929Уже выше тебе писали об этом, но это все равно исполняемый файл, а не картинка
>>170487780-> >>170489239
>>170461181Но ведь винрар - гуф. Кто-то еще не пользуется божественным 7z?
>>170466057>ANON