«Фокусы» с файлами

Кухня

добавить в избранное

«Фокусы» с файлами

Прочитали: 15302 Комментариев: 80 Рейтинг: 306

12 августа 2016

Если вы когда-либо видели результаты сравнительных тестов антивирусов, то наверняка замечали, что число проверенных объектов может сильно различаться в зависимости от тестируемых продуктов.И иногда эти цифры оказываются существенно выше количества файлов в проверенной коллекции. Причина этому достаточно прозаична.

Антивирус — это (в том числе) универсальный распаковщик, позволяющий любой, даже сильно поврежденный объект, за который не возьмется ни один разархиватор, разобрать на части.

Вот, скажем, всего два абзаца из требований к антивирусу из тендерной документации:

Установленный на компьютере антивирус обязан обеспечить проверку:

файлов и объектов, имеющих формат Smart Install Maker (SIM); DMG, HFS, XAR, Universal Binary (MacOS); SIS (Symbian 9); INNO SETUP (5.3.9 и выше); SETUP FACTORY (линейки 7,8); XENOCODE; TARMA INSTALL (линейка 3); XZ (UNIX); COMPRESS; SQUAHFS; CHILKAT ZIP; пакеты LHA (AWARD BIOS),
файлов и объектов в самораспаковывающихся архивах: AppPackager, Astrum Install Wizard, Create Install, Fly Studio, GSFX, Hot Soup, Inno Setup, Install Essen, Install Factory, Linder Setup, NSIS (NullSoft Installation System), RSFX, SEA, Setup Factory, Setup Generator Pro, SXA ZIP, Tarma Install, Thunder Setup System, Wise Installation System, Alloy.

И это далеко не все форматы!

Но сюрпризы, связанные с количеством проверенных объектов, может преподнести и обычная антивирусная проверка. Вот, скажем, файл нулевого размера:

Попросим антивирус его проверить.

Что за чудеса? Почему проверено больше одного объекта? Накрутка счетчика? На самом деле все честно: просто антивирус проверяет файлы (и папки) на глубину, невидимую обычным пользователям.

В фантастических произведениях часто встречается волшебный кошелек, в который можно поместить различные вещи, – и при этом ни размер, ни вес кошелька для его владельца не изменится. Файлы и директории в файловой системе NTFS, используемой в современных ОС Windows, и есть такие «волшебные кошельки».

Всем известно, что файл имеет атрибуты – права на чтение и на запись.

Но кроме этих атрибутов файлу (и папке) можно назначить иные – и они при работе с обычными файловыми менеджерами пользователю видны не будут.

Скажем, в файл нулевого размера можно записать другой файл.

Возьмите тестовый вирус eicar (например, со страницы http://www.eicar.org/85-0-Download.html). Данная «программа» (EICAR — European Institute for Computer Anti-Virus Research) была специально разработана для того, чтобы пользователь, не подвергая свой компьютер опасности, мог посмотреть, как установленный антивирус будет сигнализировать об обнаружении вируса.

Но не забудьте перед скачиванием этого тестового файла отключить антивирусную защиту, иначе вы увидите нечто подобное:

Переходим в командную строку и копируем скачанный псевдовирус в некий файл.

#drweb

Заходим в файловый менеджер, убеждаемся, что размер файла не изменился:

И просим проверить файл:

Вот так можно скрыть от внимания пользователя некий важный объект.

Внимание!

Проводите эксперименты на машинах, отключенных от локальной сети.
Не забывайте включать антивирусную проверку сразу после окончания экспериментов.

А то ведь случаи бывают разные…

#тесты_антивирусов #Dr.Web

Антивирусная правДА! рекомендует

Антивирус Dr.Web находит вредоносные файлы везде, где бы они ни прятались. А вот надежда на то, что вы знаете свою систему лучше злоумышленников и обязательно заметите появление вируса, беспочвенна. Не следует переоценивать свои возможности – и недооценивать киберпреступников!

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

tataku
21:01:36 2019-02-10

@SanyaG, 7-zip может. ПКМ по файлу -> Альтернативные потоки. Открывает, изменяет, создаёт, переименовывает. Редкостная программа. Непонятно, почему её вообще назвали архиватором. Как ещё одно из нестандартных использований - открытие томов с Ext2/3/4.

Денисенко Павел Андреевич
15:06:19 2018-07-26

Всегда нужно доверять антивирусу, особенно если он лицензированный)

Toma
17:03:49 2018-05-21

Очень интересные «Фокусы» с файлами! Добавила в избранное.

vasvet
03:11:04 2018-04-02

Dr.Web по своему всемогущ! Куда нам пользователям с ним тягаться.

alex-diesel Собкор
09:38:41 2018-03-16

Хотя, по-моему, это не новость, так всегда и давно было, все равно, очень очень любопытная информация.

и вообще на Тардис похоже - внутри больше, чем снаружи )))

ka_s
18:54:16 2017-07-15

Согласен, скромнее надо быть, скромнее. На другой стороне баррикады не "шушера", а очень и очень умные и квалифицированные специалисты.

eaglebuk
22:47:34 2017-02-11

не знал такого, спасибо!

Шалтай Александр Болтай Собкор
16:48:49 2017-01-24

Хотите фокус? Дайте мне немного выходных, и я вам покажу, как сбить режим сна!

Пaвeл Собкор
18:24:07 2016-12-29

Спасибо! Очень интересный выпуск!

Zserg
22:10:53 2016-11-17

Доверяю Dr.Web-у

bob123456 Собкор
18:54:05 2016-08-23

Очень интересная и необычная информация. Не знал. Знаю, в Линуксе есть интересная особенность присваивать исполняемым файлам любое разрешение. Кроме этого в альтернативной операционной системе имеется возможность делать файлы-ссылки на другие файлы. Представляю тот момент, когда Линукс станет более популярным и когда появится для данной системы больше вирусов. Неразбериха будет ужасная, ибо не будешь знать, какой файл исполняемый, не ведёт ли файл-ссылка на вредонос и т.д.

1milS
20:35:00 2016-08-22 Именинник

д.веб монстр

SanyaG
16:31:06 2016-08-19

@м...ч, Спасибо за развернутый комментарий к моему посту. Писал пост дабы привлечь внимание простых пользователей, грамотность пользователей в разрезе Безопасности, IT, простого использования гаджетов, да и русского языка стремится к минимуму (=> min) ... ну и для себя т.с. вспомнить забытое.
К сожалению людей на планете становится больше, а средняя грамотность ниже))))
Еще раз огромное Спасибо!

Вячeслaв Собкор
11:15:16 2016-08-19

@SanyaG, Команда dir /R начиная с Windows Vista показывает все потоки данных, в том числе и альтернативные. Иных штатных средств мне не известно. Можно конечно использовать PowerShell - но это уже для продвинутых пользователей
Для оценки реального размера удобнее всего пользоваться плагином к файловому менеджеру Far версии 2

SanyaG
10:17:04 2016-08-19

Интересная информация. Каким образом тогда можно увидеть место занимаемое довеском? И как вспомнить куда привесили довесок в случае склероза!?

Volkort
20:15:05 2016-08-15

Да, действительно интересно, что в файл нулевого размера можно что-то спрятать, и он не изменит свой размер. Хитро ... ...

kama35
10:33:32 2016-08-15

Копирование информации в файл нулевого размера, и объём файла не изменяется... интересно...

duandylet
18:54:45 2016-08-14

это наверное для опытных пользователей ну а как я дак полная абра кадабра :)

Sermut
08:48:44 2016-08-14

Спасибо! Было интересно.

Геральт Собкор
17:22:17 2016-08-13

Вирусописателей никогда не стоит недооценивать.

vaki
23:29:30 2016-08-12

"О сколько нам открытий чудных. Готовит просвещенья дух."...

В...а
23:29:08 2016-08-12

мне сложно

ek
23:18:10 2016-08-12

без опытов верю

НинаК
23:11:14 2016-08-12

вот матрешки...

anto-s
23:02:31 2016-08-12

Век живи - век учись.

tosya
22:58:26 2016-08-12

Очень любопытно.

Ovod
22:45:52 2016-08-12

Не следует недооценивать киберпреступников!

amonn
22:29:20 2016-08-12

От Dr.Web-а нельзя спрятаться!

kva-kva
22:18:12 2016-08-12

не те фокусники

fed0t
22:18:06 2016-08-12

Обязательно попробую.

mk.insta
22:09:56 2016-08-12

наука

azimut
22:02:43 2016-08-12

Проводите эксперименты на машинах, отключенных от локальной сети!

dyadya_Sasha Собкор
22:00:16 2016-08-12

@м...ч, Спасибо. Это то, что и хотел найти.

m@ri
21:53:12 2016-08-12

Отличный фокус!

Dvakota
21:50:29 2016-08-12

Всё по честному без обмана ...

PROgrammeur
20:32:48 2016-08-12

ну их эти тесты...

Lia00 Собкор
18:03:41 2016-08-12

вот так фокусы)

Тамара
16:39:17 2016-08-12

Вот как хитрО !)

lev
16:38:01 2016-08-12

Ничего себе "фокус"

DrKV Собкор
15:56:44 2016-08-12

Вот такая она - кухня!

Andromeda
15:36:47 2016-08-12

Интересный "фокус".

Вячeслaв Собкор
15:08:11 2016-08-12

@Неуёмный_Обыватель, Увы, для третьего плагин уже не работает

Неуёмный Обыватель Собкор
14:52:22 2016-08-12

@maghan, да, мне тоже этот фильм вспомнился, когда читал выпуск

Неуёмный Обыватель Собкор
14:41:12 2016-08-12

@м...ч, спасибо за интересные разъяснения.
насчет второго фара, да помню, что он позволял лазить, а сейчас у меня третий (после полета системы в прошлом году) вот и пытался посмотреть и полазить в файле, а результат нулевой, как и размер файла :) Вот и пришлось спросить тут, как достать, после ночных бдений в фаре ))

Вячeслaв Собкор
14:29:34 2016-08-12

@Неуёмный_Обыватель, извлекать командой more. А еще можно и запускать записанное
- отредактировать записанное notepad test.txt:stream1.txt
- посмотреть картинку mspaint test.txt:pic1.jpg
- запустить start .\test.txt:note.exe - но это работает не всегда в современных ос

Вячeслaв Собкор
14:25:07 2016-08-12

@dyadya_Sasha, ищется по фразе "стримы NTFS". несколько ссылок сходу:
- http://windowsnotes.ru/other/alternativnye-potoki-dannyx-v-ntfs
- https://xakep.ru/2004/03/18/21628

Вячeслaв Собкор
14:20:18 2016-08-12

@GREEN, "Доступ к файлам нулевого размера возможен только на уровне прямого обращения к памяти" - почему это? Любым редактором текстовым открывается. Вон тем же фаром, скриншот которого приведен. Нотепадом также.

Вячeслaв Собкор
14:18:11 2016-08-12

@Tele2lte2013, ничего. Длина ноль и содержание пустое. Я рекомендую поставить FAR второй версии, к нему есть плагин для работы со стримами NTFS. Кликаешь на файл, проваливаешься в его структуру и можно руками копировать/удалять файлы в файле :-) Прикольно скопировать гигабайтный файл в файл нулевой длины.

Вирусов таких было несколько, кто прятал информацию внутри стримов, но я давно не слышал о новых подобных. А вот для всяких систем резервного копирования и архиваторов это важно, так как до сих пор в стримах хранится важная информация о файле (настройки, контрольные суммы). Скажем Winrar архивирует со стримами, а системы синхронизации с облаком на стримы не обращают внимания

Demon
14:07:49 2016-08-12

Спасибо узнал много нового.

AlexeyOloryal
13:25:35 2016-08-12

Было интересно

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

«Фокусы» с файлами

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей