เปลี่ยนขนาดปฏิบัติการ (* .exe) ในขณะที่ถ่ายโอนไฟล์จากพีซีเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง

ฉันพบปัญหาแปลก ๆ กับไฟล์ที่ปฏิบัติการได้ เมื่อฉันถ่ายโอนไฟล์ปฏิบัติการนี้จาก PC A ไปยัง PC B โดยใช้ IP messenger การเปลี่ยนแปลงขนาดของมัน ในทางปฏิบัติมันยังคงทำงานในลักษณะเดียวกัน อีกครั้งเมื่อฉันถ่ายโอนไฟล์จาก PC B ไปยัง PC C ต่อไปไฟล์ปฏิบัติการจะย้อนกลับไปเป็นขนาดดั้งเดิม ฉันลองเปรียบเทียบทั้งไฟล์ปฏิบัติการที่มีขนาดต่างกันโดยใช้การเปรียบเทียบ HEX และมีจำนวนไบต์ที่เปลี่ยนแปลงไปค่อนข้างมาก

อะไรคือสาเหตุของสิ่งนี้

หมายเหตุ: ระบบทั้งหมดนี้ใช้ระบบปฏิบัติการ Windows

windows

— Saurabh Gandhi
แหล่งที่มา

คุณได้อัพเดทคำจำกัดความของไวรัสเมื่อเร็ว ๆ นี้? นอกจากนี้คุณสามารถยืนยันได้ว่าแฮช (เช่น CRC32) มีการเปลี่ยนแปลงเช่นกัน?

— Gleno

ขนาดบล็อกที่แตกต่างกันอาจทำให้เกิดการเปลี่ยนแปลงขนาดไฟล์จริงเล็กน้อย แต่เนื้อหาของไฟล์ไม่ควรเปลี่ยนแปลง

— user55325

@Gleno: แค่ FYI แต่ CRC32 ไม่ใช่ "แฮช" ที่แท้จริงและง่ายต่อการชน สำหรับความสมบูรณ์ของไฟล์ MD5 หรือ SHA นั้นดีกว่า

— user1686

@grawity ความน่าจะเป็นที่ไฟล์สองไฟล์ที่แตกต่างกันส่งออกเหมือนกัน CRC32 ต่ำพอ คุณพูดถูกว่ามีแฮ็กที่ดีกว่า แต่ CRC32 เป็นการตรวจสอบความสมบูรณ์ของไฟล์

— Gleno

@Gleno: ใช่ แต่เฉพาะกับการทุจริตโดยบังเอิญไม่ใช่มัลแวร์ (ไม่เกี่ยวข้อง แต่น่าสนใจ: ISO ที่กระจายโดย Microsoft จำนวนมากมี FFFFFFFF เหมือนกับ CRC32)

— user1686

คำตอบ:

ในอดีตฉันประสบปัญหาเกี่ยวกับการแปลง CR / LF -> CR หรือความขัดแย้งในโหมดการถ่ายโอน ASCII / ไบนารีในบริบทการถ่ายโอนไฟล์จำนวนมาก หากทฤษฎีส่วนของข้อมูลไวรัสไม่ได้เลื่อนออกไปคุณอาจต้องลงไปที่เส้นทางนี้เพื่อดูว่าเกิดกรณีนี้ขึ้นหรือไม่

— baitisj
แหล่งที่มา

หากการถ่ายโอนไฟล์ที่เรียกใช้งานได้จากระบบ A ไปยังระบบ B เปลี่ยนแปลงไปในทางใดทางหนึ่งและถ่ายโอนกลับไปที่ระบบ A เห็นได้ชัดว่าจะเปลี่ยนกลับไปจากนั้นฉันจะบอกว่ามันเป็นสัญญาณทั่วไปของการติดเชื้อไวรัส นั่นคือไฟล์ EXE ติดไวรัส อย่างไรก็ตามในระบบดั้งเดิม (A) ไวรัสนี้มีการใช้งานและทำให้ขนาดไฟล์จะถูกรายงานเหมือนเดิม อย่างไรก็ตามการตรวจสอบไฟล์ที่คัดลอกในระบบ "สะอาด" (B) คุณสามารถเห็นความแตกต่าง

คำแนะนำของฉันคืออัปโหลดไฟล์ EXE จากระบบ B (ที่ไฟล์ดูเหมือนใหญ่กว่า) ไปที่VirusTotalซึ่งจะทำการตรวจสอบกับโปรแกรมป้องกันไวรัสหลายตัวพร้อมกันในเวลาไม่กี่นาที หากไฟล์นั้นติดเชื้อคุณจะรู้ได้มากที่สุด

— haimg
แหล่งที่มา

คุณช่วยอธิบายได้ไหมว่าทำไมไวรัสถึงทำให้ไฟล์ดูใหญ่ขึ้นในระบบ? ตามทฤษฎีแล้วฉันคิดว่าฉันจะได้เห็นว่ามันจะส่งผลกระทบต่อสิ่งที่ยูทิลิตี้อาจแสดงเป็นขนาด ฉันขาดความเป็นไปได้อีกอย่างหรือไม่?

— Belmin Fernandez

เมื่อไวรัสติดไวรัสไฟล์จะเพิ่มเพย์โหลดไว้ในไฟล์เพื่อให้ไฟล์เติบโต เพื่อหลีกเลี่ยงการตรวจพบบนระบบที่ติดเชื้อ (ที่ไวรัสอาศัยและทำงานอยู่) มันจะแสดงขนาดไฟล์เหมือนก่อนติดเชื้อ แต่ถ้าคุณคัดลอกไฟล์นั้นไปยังระบบที่สะอาดคุณจะเห็นขนาดที่แท้จริงของไฟล์ซึ่งเป็นขนาดไฟล์ก่อนที่มันจะติดไวรัสบวกกับขนาดของข้อมูลไวรัส

— haimg

ความอยากรู้: คุณทราบหรือไม่ว่าไวรัสสามารถควบคุมขนาดไฟล์ที่รายงานได้อย่างไร

— Belmin Fernandez

ใช่. ฉันทำงานใน บริษัท แอนติไวรัสเมื่อหลายปีก่อน โดยทั่วไปคุณเขียนโปรแกรมควบคุมตัวกรองระบบแฟ้ม ... จากนั้นคุณสามารถทำทุกสิ่งที่ "ตลก" เช่นกลับขนาดไฟล์ที่แตกต่างกันขึ้นอยู่กับว่าใครเป็นคนถาม ฯลฯ

— haimg

ขอบคุณสำหรับความเข้าใจ! +1 สิ่งที่น่าสนใจ ขออภัยสำหรับ tangent :-)

— Belmin Fernandez