¿Cómo puedo detectar un código autoejecutable sin cifrar en imágenes JPEG?

2

Suponiendo que tengo una imagen infectada que contiene un código malicioso de ejecución automática que se dirige a mi visor de imágenes y se ejecuta cuando abro el archivo. Suponiendo también que mi computadora está completamente limpia y no está infectada por otro malware que puede leer el código oculto en la imagen, este código no se pudo cifrar. Por lo tanto, debe estar sin cifrar para poder ejecutarse, lo que significa que es de alguna manera visible.

¿Qué métodos puedo usar para detectarlo?

    
pregunta pgmank 30.04.2015 - 12:19
fuente

2 respuestas

2

Este es el caso fácil para software antivirus .

Sin embargo, no suponga que un malware tenga que estar sin encriptar para ser ejecutable. El código Polimórfico lleva la autodecodificación a malwares, puede ser ayudado por Metamorphism para garantizar que incluso el comienzo de la rutina de descifrado, ya que debe haber un punto de inicio sin cifrar, no presente ningún patrón constante reconocible.

Está tratando de combatir este tipo de métodos que hacen que los programas antivirus sean programas complejos.

    
respondido por el WhiteWinterWolf 30.04.2015 - 12:32
fuente
1

Dicho código necesariamente explotaría un desbordamiento de búfer u otro truco de salto de datos a código. Como tal, solo será efectivo contra un rango limitado de hardware. Por lo tanto, puede ejecutar un comprobador de pelusas JPEG escrito para, por ejemplo, ARM en un dispositivo virtualizado. El exploit no será efectivo contra la CPU emulada, que luego podrá informar sobre la estructura JPEG ... ya sea que contenga bloques de imágenes ilegales o, lo más probable, etiquetas de APP corruptas. Incluso si el código virtualizado es vulnerable, porque el exploit se dirige a una biblioteca que fue portada a la arquitectura emulada, por ejemplo, libexif, la carga útil del exploit estará en el lenguaje externo de la máquina de la CPU, y por lo tanto será inefectiva. En algunas máquinas virtuales, podrá comprobar qué direcciones contenían los datos dañados.

    
respondido por el LSerni 01.05.2015 - 00:37
fuente

Lea otras preguntas en las etiquetas