আপনি কি সত্যিই কোনও ইমেজ ফাইলটিতে একটি ট্রোজান পেতে পারেন এবং যদি তা হয় তবে এটি কীভাবে কার্যকর করা হবে?


11

আমি সবেমাত্র কয়েকটি এলপি ডিজিটাইজড করেছি এবং কিছু কভার আর্টের দরকার পড়েছি। আমার স্ক্যানার অ্যালবামটি স্ক্যান করার পক্ষে যথেষ্ট বড় নয় তাই আমি ছবিগুলি নেট থেকে সন্ধান করেছি এবং ডাউনলোড করেছি।

যখন আমি এভাস্টটি করেছিলাম তখন তাদের মধ্যে একটিতে "উইন 32: হুপিগন-ওএনএক্স" ট্রোজান রয়েছে এবং এটি তাত্ক্ষণিকভাবে পৃথক করা হয়েছে। কোনও চান্স নেওয়ার ইচ্ছা না করে আমি একটি আলাদা অনুলিপি ডাউনলোড করেছি যা পরিষ্কার হিসাবে প্রতিবেদন করেছে।

এখন এটি কি অ্যাভাস্টের থেকে একটি মিথ্যা ইতিবাচক ছিল বা জেপিজিতে সত্যিই কোনও ট্রোজান থাকতে পারে?

যদি সেখানে থাকে তবে এটি কার্যকর করা হত কীভাবে?

আমাকে অবশ্যই স্বীকার করতে হবে যে ট্রোজান এবং ভাইরাসগুলির এই দিকটি আমাকে সর্বদা বিস্মিত করেছে। সফ্টওয়্যার বিকাশকারী হিসাবে আমি সর্বদা অ্যারেগুলির দৈর্ঘ্য ইত্যাদি যাচাই করে ফেলেছি তাই বাফার ওভাররনগুলির মতো জিনিস কেন হওয়া উচিত তা আমি দেখতে পাই না। আমি বুঝতে পারি যে লোকেরা কোণগুলি কেটে ভুল করে এবং সফ্টওয়্যারটি যথেষ্ট জটিল হলে এই ত্রুটিগুলি কেটে যেতে পারে।

উত্তর:


11

চিত্রের ফাইলগুলিতে শোষণকারীরা ওএস এর ইমেজ প্রসেসিং কোডে বাফার ওভাররন ত্রুটিগুলির সুবিধা গ্রহণ করে। বেশ কয়েক বছর আগে উইন্ডোজের জিডিআই স্তরে এমন বেশ কয়েকটি উল্লেখযোগ্য ত্রুটি পাওয়া গিয়েছিল - প্যাচগুলি অনেক আগে মুক্তি পেয়েছিল তবে চিত্রগুলি এখনও সেখানে রয়েছে কারণ তারা রয়ে গেছে বা এই আশায় যে তারা এমন কোনও মেশিনে আঘাত করেছিল যা এখনও প্যাচ করা হয়নি। ।

এই জাতীয় সুরক্ষা গর্তের সাধারণ কারণটি কল স্ট্যাকের ফাংশনগুলির মধ্যে চিত্রের ডেটা পাস করে এবং সঠিকভাবে সর্বোচ্চ দৈর্ঘ্য পরীক্ষা করে না। এটি চতুরভাবে নির্মিত ডেটা দ্বারা ব্যবহার করা যেতে পারে যা অত্যধিক মাপের হয় এবং এমনভাবে বিন্যাস করা যায় যে এটি স্ট্যাক ফ্রেমের (ওভারড্রাইটিং অন্য কোডের সাথে) এর পাশের ওভাররাইটিং কোডটি শেষ হয় বা অন্য ফাংশনগুলিকে কল করতে ব্যবহৃত হবে এমন কোডের ওভাররাইটিং পয়েন্টারগুলি বা বলা ফাংশনটি কলার হিসাবে ফিরে আসে (এটিকে একটি শোষণ কোডের দিকে নির্দেশ করার জন্য এই জাতীয় পয়েন্টার ওভাররাইট করা), বা ডেটা ওভাররাইটিং এমনভাবে হয় যাতে অন্য একটি ছিদ্র উন্মুক্ত হয়। প্রশ্নের সুরক্ষা গর্তের উপর নির্ভর করে সঠিক পদ্ধতিটি পরিবর্তিত হয়।

আধুনিক সিপিইউগুলির একটি সুরক্ষা রয়েছে যা কোডটি সমর্থন করে যদি এটি বেশিরভাগ শোষণ বন্ধ করে দেয়। এটি প্রোগ্রাম / লাইব্রেরি দ্বারা স্পষ্টভাবে চিহ্নিত করে এর কোন পৃষ্ঠাগুলির ডেটা এবং কোনটি কোড - তা সিপিইউ তার পরে ব্যতিক্রম করবে যদি কোনও তথ্য (যেমন চিত্রের ডেটা) কোড হিসাবে কার্যকর করার চেষ্টা করে তবে কিছু ব্যতিক্রম করবে। আইআইআরসি ভিস্তা এবং উপরের এবং সাম্প্রতিক সংস্করণগুলির। নেট তাদের সমস্ত লাইব্রেরি এই সুরক্ষাটিকে সমর্থন করার জন্য পুনরায় জিগ্যাস করেছিল এবং এটি অন্যান্য ওএস দ্বারাও সমর্থিত হয়, তবে এটি এই ধরনের সমস্ত শোষণ বন্ধ করে না এবং কেবল পরিষ্কারভাবে চালু করা থাকলে কাজ করে (অন্যথায় একটি পুরানো কোড প্রচুর বিরতি হবে)।


9

আমাকে অবশ্যই স্বীকার করতে হবে যে ট্রোজান এবং ভাইরাসগুলির এই দিকটি আমাকে সর্বদা বিস্মিত করেছে। সফ্টওয়্যার বিকাশকারী হিসাবে আমি সর্বদা অ্যারেগুলির দৈর্ঘ্য ইত্যাদি যাচাই করে ফেলেছি তাই বাফার ওভাররনগুলির মতো জিনিস কেন হওয়া উচিত তা আমি দেখতে পাই না।

ঠিক আছে, বাস্তব বিশ্বের আপনাকে স্বাগতম ;-)। বাফার ওভারফ্লোস এবং সি। বিভিন্ন ভাষায় ঘটতে পারে (বিশেষ করে C- এর মতো ম্যানুয়াল মেমরি ব্যবস্থাপনা তাদের মধ্যেও এটি), এবং যেমন ডেভেলপারদের ভুল, তারা না ঘটে।

সাধারণত একটি বাফার ওভারফ্লো কেবল প্রোগ্রামটি ক্র্যাশ করে (বিভাগকরণ লঙ্ঘন বা অনুরূপ), এটি কোনও আক্রমণকারীকে কোড -> ট্রোজান সক্রিয়করণের অনুমতি দিতে পারে।

উদাহরণ স্বরূপ:

http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx

http://secunia.com/advisories/35216/

এবং এটি কীভাবে কোড সম্পাদন করতে দেয় তা ব্যাখ্যা করার জন্য:

/programming/460519/how-are-buffer-overflows-used-to-exploit-computers


আমি জানি যে তারা ঘটেছে - এটি কেবলমাত্র ডেটা প্রক্রিয়াকরণের সময় আমি বুনিয়াদি চেকগুলির মধ্যে একটি করেছি - ডেটাটির জন্য পর্যাপ্ত জায়গা পেয়েছি / বরাদ্দ করেছি তা পরীক্ষা করে দেখুন।
ক্রিসএফ

@ChrisF যে, আসলে আপনি যে আপনার পরীক্ষা করুন (হিসাবে "কম্পিউটার" বিরোধিতা নিশ্চিত করতে সমস্যা নিজেই।
Zabba

@ জাবা যা বলতে চেয়েছিলেন তা হ'ল ডেটা প্রক্রিয়াকরণের সময় আমি "প্রোগ্রামটি চেক করতে কোড করি"।
ChrisF

3

একটি শোষণ ছিল যা ভাঙা জেপিজি লাইব্রেরিতে একটি বাফারকে ছাড়িয়ে গেছে যা ২০০ 2006 সালে স্বেচ্ছাসেবীর কোড চালাতে পারে Microsoft আপনার মেশিনটি অবশ্যই দুর্বল নয় এবং হুপিগন এখনই অনেকগুলি মিথ্যা ধনাত্মক জেনেট তৈরি করেছে।

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Win32/Hupigon


2

আমাকে অবশ্যই স্বীকার করতে হবে যে ট্রোজান এবং ভাইরাসগুলির এই দিকটি আমাকে সর্বদা বিস্মিত করেছে। সফ্টওয়্যার বিকাশকারী হিসাবে আমি সর্বদা অ্যারেগুলির দৈর্ঘ্য ইত্যাদি যাচাই করে ফেলেছি তাই বাফার ওভাররনগুলির মতো জিনিস কেন হওয়া উচিত তা আমি দেখতে পাই না। আমি বুঝতে পারি যে লোকেরা কোণগুলি কেটে ভুল করে এবং সফ্টওয়্যারটি যথেষ্ট জটিল হলে এই ত্রুটিগুলি কেটে যেতে পারে।

হতে পারে আপনি আপনার সমস্ত পয়েন্টার, অ্যারে ইত্যাদি পরীক্ষা করে দেখছেন তবে আপনি কি নিশ্চিত যে কোনও তৃতীয়-প্যাট্রি লাইব্রেরির সমস্ত প্রোগ্রামার আপনি (কোনও দিন) ব্যবহার করেছেন (কোনও দিন) তাও করেছেন?

এর সহজ সমাধানটি হ'ল "চিত্র.jpg.exe" এর মতো কোনও ফাইল বা সত্যিকারের চিত্রের পরিবর্তে সিমেন্টের মতো কিছু ডাউনলোড করা।

আপনার পিসি সংক্রমণের আরও উন্নত উপায়গুলি ইতিমধ্যে এখানে বর্ণিত হয়েছে (উদাঃ বাফার ওভারফ্লো, ...)


1
সত্য - তবে আমি এক্সটেনশানগুলি দেখানোর জন্য ফোল্ডার বিকল্পগুলি পরিবর্তন করি। আমি নিশ্চিত যে পরিচিত এক্সটেনশানগুলি লুকিয়ে রাখার ফলে আরও বেশি সমস্যার সমাধান হয়েছে যা এটি সমাধান করে। আসলে আমি যে সমস্যাটি সমাধান করি তা ভাবতে পারি না।
ChrisF

পূর্ণ
আক্ক

@ ক্রিসএফ: ঠিক আছে, স্পষ্টতই যে সমস্যাটি সমাধান হয় তা হ'ল অন্যথায় ব্যবহারকারীরা যখন ফাইলটির নাম পরিবর্তন করে দুর্ঘটনাক্রমে কোনও ফাইলের এক্সটেনশানটি পরিবর্তন করতে পারেন। এটি পরিচিত সমস্যা সৃষ্টি করে "আমার দস্তাবেজের আইকনটি মজাদার দেখায় এবং আমি এটি আর খুলতে পারি না Help সহায়তা!" :-) (এবং হ্যাঁ, আমি কখনও কখনও আমার পরিবারের জন্য প্রযুক্তি সমর্থন করি)।
sleske

@ সেলসেকে - আপনি যখন কোনও ফাইলের নাম পরিবর্তন করেন তখন উইন্ডোজ 7 এক্সটেনশনটি নির্বাচন করে না।
ক্রিসএফ

1
@ ক্রিসএফ: আকর্ষণীয়, এটি জানতেন না। যদিও এটি আলাদা ছিল, যদিও - কমপক্ষে উইন্ডোজ সার্ভার 2003 একটি নতুন নামের জন্য পুরো নামটি নির্বাচন করে। এবং যে কোনও হারে, ব্যবহারকারীগণ এক্সটেনশনটি সম্পাদনা করতে পারলে তারা :-) করবে।
sleske
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.