2007年10月2日 星期二

檔案偽裝術(File Camouflage)

檔案偽裝術是什麼呢?

早在很久以前就有類似技術的產生,主要是用來把特定的資訊經過合併切割的方式做到檔案偽裝的功效,主要是用來突破在網路初期,許多網站會限制上傳檔案的大小(太佔頻寬),因應而生的一種技術。

如果跟筆者一樣經歷過這段時間的網路使用者,一定對這些應用不陌生,其實我也是因為昨晚的CSI影集才會又想起了這種技術,今天就來跟大家分享一下吧!雖然現在的頻寬已經較少有類似的應用,但是多瞭解一點也不錯...

如果在網路上有點年資的使用者可能對下列軟體都有些印象:愛的機器(lovema)琉璃無(RESUME)HJSplit...等,至於使用方法可以上google找一下。

不過,在應用這一類軟體的同時,也要想到是否會有類似的資安問題?病毒可否利用類似方式隱藏,或者事先竄改你電腦中預設的開啟程式,這些也是利用這一類軟體需注意的部份(例:把*.exe的執行檔偽裝成*.jpg,竄改電腦*.jpg的開啟程式碼...結果可想而知)

經筆者實際測試,就算在很多人常用的MSN上,勾選「自動拒絕傳輸不安全的檔案類型」,這是用來禁止傳送*.EXE、*.COM這一類可執行檔的風險,一經偽裝後,只能用暢行無阻來形容...

礙於網路上經常會流竄有人「加料」的程式(加密後通常防毒軟體只能選擇略過),如果不利用這一類的軟體,是否也能做到相同的功能呢?

其實,我們只要用到dos下copy的指令就能夠達到這樣的效果:

1.準備元件:DOS、偽裝用圖片(例:1.JPG)、被偽裝檔案(例:2.EXE)。

2.操作模式:圖形文字介面並用。

3.操作方式:
 (1)圖形模式下,在C:\底下,新增一個名為test的資料夾(任意即可)。
 (2)圖形模式下,將 1.JPG 和 2.EXE 複製到test資料夾中。
 (3)進入文字模式(開始 --> 執行 --> CMD)。
 (4)預設路徑為 C:\Documents and Setting\test(使用者名稱)>。
 (5)切換至test(沒看過DOS的人,以下列指令處理(紅字部份))
    C:\Documents and Setting\test> cd c:\test
 (6)指令:copy /b 1.JPG+2.EXE 3.JPG
         ↑參數  ↑合併   ↑新檔名
 (7)收工,在圖型介面下,即可看見與1.JPG的圖片相同的3.JPG圖檔。

這一類的檔案,開啟方式則依據你使用的軟體而定:

小畫家開,會呈現像1.JPG一樣的圖檔;用WINRAR開(2.EXE是壓縮自解檔),就會開啟2.EXE的解壓縮程式,這樣子的說明,我想明眼人應該就能理解它的用途了吧!

注意事項:

1.合併多檔:
這方式不僅只合併兩個檔案,還可以合併多個檔案(例:*.DOC全合併成一個9.JPG或用A+B+C...),檔案小的話,還可以偽裝過去,如果檔案太大,容易會被識破。

2.偽裝檔須為第一個檔案:
例:1.JPG檔是要用來偽裝的圖片,它就要置於copy /b 1.JPG+...(置於第一個),否則會取用後面的檔案做為偽裝用的圖檔。

筆者說明這些應用與技術,不是要教各位怎麼偽裝檔案,而是要大家留意資訊安全,就算看起來像安全的檔案,也不要輕易執行!如果有其它更進階或相關的應用,還請大家一同留言或來信討論。