我有一个客户,他的网站(不是我开发的)被木马/恶意代码感染了。我让他把这些脏文件打包成 zip 文件发给我,但 Gmail 或解压软件都阻止了这些文件。
我尝试过文本文件和 Word 文件,我怀疑许多不同类型的文件会以相同的方式被阻止,无论是被我的邮件客户端、反恶意软件、浏览器等(这是正常的)。
你知道他可以通过什么方式分享这些内容以便我可以阅读它们并对恶意源代码进行一些研究吗?
他的文本编辑器的图像/屏幕截图是一个想法,但文件很长,我更希望能够从中复制/粘贴。
答案1
这可能是 Gmail - 毕竟它就是为此而设计的,并且确实会扫描病毒。我怀疑使用不太常见的压缩方法可能会有效(.xz 可能适用于单个文件 - zip 文件是根据我对 Gmail 的非常不科学的测试检查的),或者只是简单地将其刻录到 DVD 或其他媒体上并通过蜗牛邮件发送可能会更好。
考虑到你正在执行事件响应,直接请求访问网站以下载文件是否太过分? 这将是最简单的,然后你可以在其原生环境中观察妥协。
答案2
只需使用加密的 zip 文件,要么让 zip 本身进行加密,要么使用 gpg 对其进行加密。然后邮寄加密文件,并交换密码,以便您可以在另一端解压它。这样,防病毒扫描程序就无法读取内容,因此不应阻止它。
答案3
你可以通过以下方式总是用途是创建一个档案(zip,tar,等等)。编码归档并剥离开始 600 文件名从一开始结尾从编码结果的末尾。
我从未遇到过病毒扫描程序阻止纯 ASCII 文件的情况。而这正是上述操作的结果。
恢复它很简单,只需在文本编辑器中打开文件即可。添加开始和结束行,然后使用 uudecode 或 winzip 将其解码回来。
答案4
我的经验是,zipcepted 恶意文件往往不会被防病毒扫描程序检测到。
尝试将压缩的恶意文件嵌入到另一个压缩文件中(也可能是另一个),大多数扫描仪都无法检测到它,直到您将其解压到最终级别(就在文件解压之前)。此时,您可以关闭防病毒软件并解压,或者在大多数木马/病毒都无法工作的 Linux 内解压文件。