[转载]构造特殊文件名绕过多个反病毒引擎
文章作者:root (webmaster_at_xfocus.org)类别: 设计错误
威胁程度:中
BUGTRAQ ID: 15423
受影响的反病毒引擎:
Kaspersky Antivirus
Symantec AntiVirus
F-Prot Antivirus
ClamWin Antivirus
Avast Antivirus
RAV AntiVirus
Microsoft AntiSpyware
经测试版本:
Symantec AntiVirus Corporate 8.0
Kaspersky Antivirus Personal Pro 4.5.0.104
Kaspersky Antivirus For MS NTServer 4.5.0.104
F-Prot Antivirus 3.16c
ClamWin Antivirus 0.87
Avast.Professional.Edition.v4.6.603
RAV.AntiVirus.Desktop.v8.6
Microsoft AntiSpyware beta1
1.问题描述:
Windows 系统可使用多种特殊符号作为文件名,一些反病毒引擎无法正常解析特殊构造文件名,从而对文件操作失败。
2.技术描述:
测试方法:
选择一个可被检测的文件,比如nc.exe,对文件进行重命名为:nc??.exe。(?? =hex C0 D7 BA DC)
然后使用反病毒软件进行扫描。
因为这些特殊的名字无法直接输入,那么如果想使用修改后的文件(nc??.exe),可以采用如下方法:
[ROOT@D:\Vul\bugtrap]#dir /x
1998-01-03 14:37 59,392 NC294E~1.EXE nc??.exe
[ROOT@D:\Vul\bugtrap]#NC294E~1.EXE -help
[v1.10 NT]
connect to somewhere: nc [-options] hostname port[s] [ports] ...
listen for inbound: nc -l -p port [options] [hostname] [port]
options:
使用MS-DOS文件名,可以对文件进行打开、读取、写入和复制等操作。
事实上多数厂家在对此类问题处理上均有一些问题:比如Kaspersky在右键点击的此类文件时弹出菜单无扫描选项,Symantec AntiVirus Corporate V10.0.1.1000 可以检测但无法清除。AVG Anti-Virus 正常路径扫描可以通过,但点击扫描选项后却无法读文件。 “选择一个可被检测的文件,比如nc.exe,对文件进行重命名为:nc??.exe。(?? =hex C0 D7 BA DC)”
对于这个构造。我实在不明白在cmd下怎么构造,能举个例子吗?还是文件的改名用软件改的?我看不太明白。。希望高手指点。谢谢!
页:
[1]