压缩包炸弹

admin 2021年7月5日16:34:48评论123 views字数 778阅读2分35秒阅读模式

今天在使用X-Ways处理工作的时候,不经意间注意到X-Ways提示框弹出了Archive bomb的相关提示,内容大致如下:

压缩包炸弹

仔细回想,貌似前几天就出现过类似的提示,只是太忙直接忽略了。

Archive bomb是什么?根据经验,推测是X-Ways遇到了处理不了的文件。个人猜测应该是这个压缩包里面有逻辑错误,导致软件无法解析。什么错误会被称为“bomb”呢?好奇心让我忍不住打开谷歌一探究竟。

压缩包炸弹是指让解压软件(或其他处理软件)处理时会崩溃或无法正常处理的压缩包,大致原理是这类文件解压需要极大的资源(例如时间、磁盘空间或内容)。早期压缩包炸弹被用来过隐藏恶意代码,杀毒扫描时会崩溃或自动跳过检查。

一个比较经典的压缩包炸弹是“42.zip”,该文件仅42KB大小,但打开后发现里面又有16个压缩包,继续打开任意一个压缩包,会发现里面又有16个压缩包……,一共有5层嵌套,最终的压缩包里面是一个4.3G的压缩包。

那么这个42.zip完全解压有多大呢?最内层,4.3G×16=68GB;到倒数第二层,68G×16=1TB;到倒数第三层,16GB×16=17TB;到倒数第四层,17TB×16=281TB;到第五层(最外层),281×16=4.5PB。一个小小的压缩包,处理起来估计没有哪台电脑的内存或硬盘够用。

上面这个文件可以从网站“42.zip”(域名https://unforgettable.dk/)下载得到,解压密码为42。压缩包炸弹除了42.zip,还有很多,大家可以网上搜搜看。
这个例子让我再次意识到取证工作中人才是最重要的,软件不是万能的,如果条件允许最好使用多种工具进行交叉验证,必要的话,直接手工分析!据我了解,对于这种压缩包炸弹,X-Ways会弹出提示,而其他大部分无法解析却没有任何警示信息!

本文始发于微信公众号(取证杂谈):压缩包炸弹

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月5日16:34:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   压缩包炸弹http://cn-sec.com/archives/413774.html

发表评论

匿名网友 填写信息