Как падают программы

СпецНаз (специальные названия)

добавить в избранное

Как падают программы

Прочитали: 4779 Комментариев: 38 Рейтинг: 61

19 сентября 2019

Недавно мы писали о zip-бомбах. Они достаточно разнообразны (и даже не всегда используют формат zip). Один из видов бомб – это архив с огромным количеством вложений таких же архивов внутри. При распаковке должна получиться папка с огромным числом уровней вложенности подпапок. И в этом случае исчерпывается не место на жестком диске – программа «падает» при распаковке. Давайте рассмотрим немного теории, чтобы понять, как это происходит.

Любая программа – это не просто некий код. Программа работает динамически. Например, создает временные переменные. Естественно, эти переменные должны где-то размещаться.

#drweb

Стек (stack) – это область памяти, в которой программа хранит информацию о вызываемых функциях, их аргументах и каждой локальной переменной в функциях. Размер области может меняться по мере работы программы. При вызове функций стек увеличивается, а при завершении – уменьшается.
Куча (heap) – это область памяти, в которой программа может делать всё, что заблагорассудится. Размер области может меняться. Программист имеет возможность воспользоваться частью памяти кучи с помощью функции malloc(), и тогда эта область памяти увеличивается. Возврат ресурсов осуществляется с помощью free(), после чего куча уменьшается. Кодовый сегмент (code) – это область памяти, в которой хранятся машинные инструкции скомпилированной программы. Они генерируются компилятором, но могут быть написаны и вручную. Обратите внимание, что эта область памяти также может быть разделена на три части (текст, данные и BSS). Эта область памяти имеет фиксированный размер, определяемый компилятором. В нашем примере пусть это будет 1 Кб.

Кодовый сегмент (code) – это область памяти, в которой хранятся машинные инструкции скомпилированной программы. Они генерируются компилятором, но могут быть написаны и вручную. Обратите внимание, что эта область памяти также может быть разделена на три части (текст, данные и BSS). Эта область памяти имеет фиксированный размер, определяемый компилятором. В нашем примере пусть это будет 1 Кб.

Источник

Картинка очень сильно упрощена, в реальной жизни сегментов больше (подробнее об этом можно почитать, например, тут), но для простоты понимания мы используем ее.

То есть когда вы или система запускаете некую программу, то под нее создается место в памяти, где размещается код, а также выделяются области памяти. В том числе стек и куча. Первоначально в этих областях ничего нет, но постепенно программа начинает заполнять их данными. Нас пока интересует только стек.

Как происходит распаковка архива с вложенными архивами?

Архиватор, найдя файл архива и проведя все необходимые проверки, запускает определенную процедуру (в данном случае распаковку). Если в ходе распаковки найден еще архив (вложенный в распаковываемый), то распаковка текущего уровня приостанавливается, окружение сохраняется, и вызывается та же самая процедура, которая уже работала.

В стеке элементов элементы располагаются один поверх другого в том порядке, в котором они были там размещены, и вы можете удалить только верхнюю часть (без опрокидывания всей вещи).

#drweb

Источник

(Да, вы можете утверждать, что у вас на столе не завалы бумаги, а стек ☺)

Когда вложенная распаковка завершит работу, то при возврате из процедуры окружение восстановится автоматически и продолжится прерванная распаковка. Но если встретится еще уровень и еще... Всё время в вызове процедуры распаковки сохраняется текущее окружение. И сохраняется это окружение в стек. И область, указанная на картинке как Free, – сжимается. И в конечном итоге данные «наедут» на границу сегмента стека.

Источник

И далее возможны два варианта. Или данные продолжат записываться в соседний сегмент, перекрывая находящиеся в нем данные, или (чаще всего) ситуация будет отслежена, и будет выдана ошибка. Возникает так называемое исключение, и если программа отслеживает исключения, то распаковка аварийно завершается – вирус внутри остается ненайденным.

Это, конечно, обычные программы. Но опасность в том, что подобная бомба может отлично скрыть вредоносную программу. Стандартный архиватор просто не сможет распаковать файл до нее. Антивирус обязан распаковывать до упора.

#бомба

Антивирусная правДА! рекомендует

Надеемся, вам стало немного понятнее, почему бомбы действительно опасны и за что их так любят злоумышленники.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Filip_s
10:10:00 2021-01-06

Вспомнил,а ведь была на компьютере подобная ситуация. Давно. И тогда антивируса у нас не было, а теперь с Dr.Web все спокойно)

Dmur
16:12:53 2019-09-29

Интересная информация, пожалуй сохраню.

Toma
21:07:21 2019-09-25

Интересный и полезный выпуск, добавлю в избранное.

EvgenyZ
19:47:36 2019-09-25

Действительно стало понятнее, почему бомбы действительно опасны.

tigra Собкор
18:30:23 2019-09-20

Прелесно, что хоть кто-то распаковывает до упора..

Lia00 Собкор
16:34:48 2019-09-20

для чего только не придумают бомбы...

Неуёмный Обыватель Собкор
08:49:36 2019-09-20

Надо же, оказывается, все нормально, а я расстроился вчера, что ритмичность проекта нарушилась :)
Схема интересная

Sasha50 Собкор
07:17:06 2019-09-20

Очень подробно и доступно рассказано. Спасибо автору. Самое главное, что: "Антивирус обязан распаковывать до упора"

achemolganskiy
04:31:52 2019-09-20

Эт хорошо, что Доктор Веб находит бацилл в архивах.

Korney
23:16:30 2019-09-19

Интересная тема, спасибо. Побольше бы таких именно технических статей - так сказать простым языком о сложном.

Masha
22:50:16 2019-09-19

Такие статьи очень полезны, спасибо большое!

Любитель пляжного футбола Собкор
22:45:10 2019-09-19 Именинник

Хорошо хоть, что антивирус может справиться с тем, с чем не справляется архиватор. Да вам можно на основе этого отдельный продукт создать "Архиватор Dr.Web со встроенным сканером". :)
Вот только теорию и после двух стаканов не понял. :) В следующий раз надо будет налить что-то покрепче минералки. :)))

Татьяна
22:41:42 2019-09-19

Много полезной информации, сохраню в избранное

Пaвeл Собкор
21:55:28 2019-09-19

Действительно, все стало понятно, спасибо большое!

vinnetou
21:32:40 2019-09-19

Зловреды ищут лазейки, Dr.Web на страже-надёжный защитник!!!

I46
21:16:22 2019-09-19

Бомбы падают на головы, отключающих антивирусы

anatol
21:11:53 2019-09-19

С зипованными документами приходится сталкиваться все реже, но вдруг. Спасибо за информацию.

Lenba
21:00:43 2019-09-19

Вирусы ищут лазейки, антивирус идет верной дорогой.

Zserg
20:57:33 2019-09-19

Архивы до сих пор еще не изучены толком до конца

robot
20:34:36 2019-09-19

Логические бомбы были в топе в 90 годы. Теперь о них почти не слышно. Больше слышно про червей.

I23
19:59:04 2019-09-19

И вот такой выпуск для разнообразия.

ka_s
19:54:08 2019-09-19

Картинки очень способствуют пониманию того, что происходит при попытке распаковывания "бомбы". Не ясно, как "зловред" будет пытаться реализовать получаемые преимущества (и какие) в дальнейшем и как простому пользователю нейтрализовать эти предполагаемые гадости, чтобы остаться здоровым и невридимым.

kozinka.ru Собкор
17:42:40 2019-09-19

Понимание происходящего приходит не сразу. Надеемся только на DrWeb.

Roman
16:55:22 2019-09-19

И что, от такой бомбы не защититься? Вирус так и найдут?

orw_mikle
15:27:41 2019-09-19

Стек на столе это про мою работу.

Денисенко Павел Андреевич
15:07:03 2019-09-19

Злоумышленникам уже нету смысла, атаковывать нас этими бомбами, так как они уже знают, что наши устройства полностью защищены самым отличным антивирусом Dr.Web:)

Lex
15:03:13 2019-09-19

Стоит с осторожностью работать с архивами.

marisha-san Собкор
15:02:25 2019-09-19

Всё так сложно ,и с первого раза не поймешь.

ЕК
14:29:58 2019-09-19

@Tanya086, будем стараться!:)

AlexDS
14:16:43 2019-09-19

Интересная и полезная информация! Не знал об этом способе укрытия вирусного кода.
Спасибо что Вы это способны выявить.
Ведь зазипованными пакетами документов и программ часто приходится пользоваться, но всегда обращал внимание на содержимое такого файла. Подобные, описанным, пакеты - всегда вызывали подозрения и старался интуитивно ими не пользоваться.

Alexander Собкор
13:05:06 2019-09-19

Интересная статья. Наглядная и образная. Да, вот так начнёшь распаковывать матрёшку, чтобы добраться до искомого, а на столе уж и места нет куда ставить открытые контейнеры...

Приятно осознавать, что у Dr.Web Security Space имеется хитрый способ всё же найти упакованную "вошь", и поступить с ней как должно.

Спасибо за популярное изложение варианта возможного "падения" программы.

DoctorW
13:03:11 2019-09-19

Всегда интересно читать ваши статьи!

Tanya086
13:00:22 2019-09-19

Ну кстати побольше бы такой информации о всякого рода вирусах, чтобы можно было понять всю суть их опасности!

Саня
12:58:29 2019-09-19

Теперь о бомбах мне стало понятней

razgen Собкор
12:24:04 2019-09-19

Надеюсь, что опасность в том, что подобная бомба может отлично скрыть вредоносную программу будет нивелирована антивирусом Dr.Web.

Vlad X
11:38:03 2019-09-19

Бомбы опасны,это понятно.Для меня-это темный
лес,но для общего развития прочитал.

vkor
11:33:26 2019-09-19

То, что бомбы опасны, ясно и так, а вот за разъяснение чем - спасибо.

Oleg
11:16:07 2019-09-19

Спасибо за выпуск буду знать,что и как.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Как падают программы

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей