假设我有一个来自潜在可疑来源的“损坏”的 zip 文件,并且至少有人试图提取它。传统智慧过去认为,坏事™ 不是从解压缩文件中发生的,而是可能来自解释它包含的压缩文件。显然,这不是真正的7-Zip的某些版本其中之一是使用1对于失败的提取。
我如何判断这个特定的 zip 文件是否被诱杀?
我认为应该可以编辑旧版本的 7-Zip 的源代码,并围绕可利用部分编写一些错误处理,以提醒您堆溢出,并(如果需要)将后续数据转储到原始文件中。
1据我了解, Keka 是多年未更新p7zip的后端。
如何判断一个 zip 文件是否使用了 7-Zip 漏洞?
信息安全
压缩
2021-09-11 01:39:41
2个回答
作为用户,您无法分辨,因为这是一种利用,而不是病毒。
CVE-2016-2335 与 UDF 文件格式解释有关,而 CVE-2016-2334 与 Zlib 文件处理有关的堆溢出。这样的东西根本不容易被利用。请注意,大多数存档器都有这样的漏洞(即 LHA 的 CVE-2016-2347),但大多数时候它们并没有那么危险。当然,也有例外,这是来自 winrar 的一个非常危险的例子。
不过问题很快就解决了,所以目前最新版本没有这个问题。
我会将受影响的文件上传到 VirusTotal 或任何其他服务,这些服务会根据多个 AV 引擎检查文件。
如果 ClamAV 是成功的检测器之一,请下载它的便携式版本,并使用它的命令行版本编写脚本。比一点二进制文件要胖得多,但“采购”要快得多。