(no subject)

[ufm]

Who Let The Dogs Out 🐾 была создана публикация Tue, 22 Jul 2025 19:06:49 +0300

Как заставить ZIP‑файл показывать разный контент в зависимости от используемого ZIP‑парсера.

#red_team #ZIP

ZIP‑архив содержит в конце спец.запись (EOCD) (начало центрального каталога (offset) и его размер (size)). Разные программы читают ZIP по‑разному: одни используют offset и видят один набор файлов, другие — рассчитывают начало каталога как конец файла (size) и видят другой набор файлов.

- Создаем специальный ZIP с «безопасным» файлом README.txt (прописан через offset, антивирус его и увидит), и вредоносным malware.exe (прописан через size и его увидит только конечный пользователь).
- Файл отправляется по почте или загружается на сайт.
- При скачивании антивирус проверяет ZIP, видит только README.txt и пропускает.
- При запуске распаковщик (встроенный распаковщик в проводнике Windows или WinRAR) использует другой способ чтения ZIP — и показывает только malware.exe.
- Пользователь запускает malware.exe - заражение.

Подробности (https://hackarcana.com/article/yet-another-zip-trick).

Источник:https://twinkle.lol/item/495e3e17-b8da-4463-aa52-fb90200f8db6

Comments

[juan_gandhi]

Дурной вендовый софтвер.

[borisk]

Дурной формат, увы

[ypq]

то есть, всех-то делов - сказать антивирусу, что бывают два способа чтения ZIP.

[tiresome_cat]

А при запуске файл, типа, уже не проверяется антивирусом?

[ufm]

Да ладно при запуске. Его-же еще надо перед запуском из архива вынуть (хотя фиг эту винду знает, как она экзешники из архива запускает. Если она вобще это умеет делать). Но сам способ обойти контроль содержимого архива - прикольный.

[tiresome_cat]

Запускать из архива Win умеет - видимо распаковьівает во временную папку.