NTFSのAlternate Data Streamとrarアーカイブによるマルウェア隠し
Why questionable downloads use rar archives : Len Boyette NTFSには、Alternate Data Streamという機能がある。これは、ファイルに複数のストリームを関連付ける機能で、主となるストリーム以外は、基本的にあまり表に出ない。Windowsはファイルのメタデータを保存するのにこの機能を使っている。例えば、インターネット上からダウンロードしたファイルに対して警告を発するのも、特別なAlternate Data Streamを付加しているからで、ファイルのプロパティからこれ以上警告しないという設定するのは、このストリームを削除するという事である。 Alternate Data Streamは、ファイル名の後ろにコロンをつけることで使える。例えば、"example.txt"という名前のファイルがある場合、"example.tx
rarファイルのアセンブラーとリンカー
rarという不自由な圧縮とアーカイブのフォーマットがある。RAR1とRAR2に関しては、自由な実装による復号化だけはできるが、最新のRAR3に関しては、自由な実装の復号化も不可能である。したがってrarは使ってはならない邪悪なフォーマットである。 ところで、このrarフォーマットは興味深いことに独自のプログラムを搭載していて、VMで実行されるらしい。これは、圧縮するデータごとに独自の変換を施して、復号化時に逆変換をかけるような用途に使われているそうだ。 そのVMを解析した結果のアセンブラーとリンカーがGithubで公開されているrar VMのアセンブリは、x86に似ているらしい。 taviso/rarvmtools · GitHub また、その作者により、このVMを利用して、圧縮時とは違う、hello worldと復号化させるプログラムを搭載したrarファイルも作成されている。 Tavis
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
