Come posso rilevare il codice autoesecutivo non crittografato nelle immagini JPEG?

2

Supponendo di avere un'immagine infetta contenente un codice malevolo autoeseguibile che si rivolge al mio visualizzatore di immagini e viene eseguita quando apro il file. Supponendo inoltre che il mio computer sia completamente pulito e non infettato da un altro malware in grado di leggere il codice nascosto nell'immagine, questo codice non avrebbe potuto essere crittografato. Quindi deve essere non criptato per essere eseguito, il che significa che è in qualche modo visibile.

Quali metodi posso utilizzare per rilevarlo?

    
posta pgmank 30.04.2015 - 12:19
fonte

2 risposte

2

Questo è il caso facile per software anti-virus .

Tuttavia, non supporre che un malware debba essere non crittografato per essere eseguibile. Il codice Polymorphic porta l'autodecryption ai malware, può essere aiutato da Metamorphism per garantire che anche l'inizio della routine di decodifica, poiché deve esserci effettivamente un punto di partenza non criptato, non presenta alcun modello costante riconoscibile.

Sta cercando di combattere questo tipo di metodi che rendono il software anti-virus un programma complesso.

    
risposta data 30.04.2015 - 12:32
fonte
1

Tale codice dovrebbe necessariamente sfruttare un buffer overflow o un altro trucco di salto dati-codice. In quanto tale, sarà efficace solo contro una gamma limitata di hardware. In questo modo puoi eseguire un controllo di sfilacciamento JPEG scritto, per esempio, su ARM in un dispositivo virtualizzato. L'exploit sarà inefficace rispetto alla CPU emulata, che sarà quindi in grado di generare report sulla struttura JPEG .... sia che contenga blocchi di immagini illegali o, molto più probabile, corretti tag APP. Anche se il codice virtualizzato è vulnerabile, poiché l'exploit ha come target una libreria che è stata trasferita all'architettura emulata, ad esempio, libexif, il carico utile di exploit si troverà nel linguaggio della CPU esterna e quindi sarà inefficace. Su alcune macchine virtuali sarai in grado di controllare quali indirizzi contengono i dati corrotti.

    
risposta data 01.05.2015 - 00:37
fonte

Leggi altre domande sui tag