今天在使用X-Ways处理工作的时候,不经意间注意到X-Ways提示框弹出了Archive bomb的相关提示,内容大致如下:

截图

仔细回想,貌似前几天就出现过类似的提示,只是太忙直接忽略了。

Archive bomb是什么?根据经验,推测是X-Ways遇到了处理不了的文件。个人猜测应该是这个压缩包里面有逻辑错误,导致软件无法解析。什么错误会被称为“bomb”呢?好奇心让我忍不住打开谷歌一探究竟,结果发现挺有意思的。以下内容部分来自维基百科等网站。

Archive bomb是指让解压软件(或其他处理软件)处理时会崩溃或无法正常处理的压缩包,大致原理是这类文件解压需要极大的资源(例如时间、磁盘空间或内容)。早期压缩包炸弹被用来过隐藏恶意代码,杀毒扫描时会崩溃或自动跳过检查。

一个比较经典的Archive bomb是“42.zip”,该文件仅42KB大小,但打开后发现里面又有16个压缩包,继续打开任意一个压缩包,会发现里面又有16个压缩包……,一共有5层嵌套,最终的压缩包里面是一个4.3G的压缩包。

那么这个42.zip完全解压有多大呢?最内层,4.3G×16=68GB;到倒数第二层,68G×16=1TB;到倒数第三层,16GB×16=17TB;到倒数第四层,17TB×16=281TB;到第五层(最外层),281×16=4.5PB。一个小小的压缩包,处理起来估计没有哪台电脑的内存或硬盘够用。

上面这个文件可以从网站“42.zip”(域名https://unforgettable.dk/)下载得到,解压密码为42。压缩包炸弹除了42.zip,还有很多,大家可以网上搜搜看。

这个例子让我再次意识到取证工作中人才是最重要的,软件不是万能的,如果条件允许最好使用多种工具进行交叉验证,必要的话,直接手工分析!据我了解,对于这种压缩包炸弹,X-Ways会弹出提示,而其他大部分无法解析却没有任何警示信息!

标签: none

添加新评论